DirtyMoe Malware
लोकप्रियता में उल्कापिंड वृद्धि, कई अलग-अलग क्रिप्टोकरेंसी द्वारा किए गए मूल्य में और भी अधिक प्रभावशाली लाभ से प्रेरित होकर, पहले के आला क्षेत्र को सार्वजनिक सुर्खियों में ला दिया। धमकी देने वाले अभिनेताओं ने भी इस प्रवृत्ति पर ध्यान दिया और जल्दी से अपने कार्यों को दुरुपयोग की ओर स्थानांतरित कर दिया। कई बॉटनेट और मैलवेयर टूल या तो बनाए गए या क्रिप्टो-माइनिंग क्षमताओं से लैस थे। तब खतरे के अभिनेता हजारों समझौता प्रणालियों के संसाधनों को हाईजैक कर सकते हैं और उनका उपयोग एक विशिष्ट क्रिप्टोकरेंसी के सिक्कों को माइन करने के लिए कर सकते हैं। इस प्रकार के नवीनतम और सबसे परिष्कृत मैलवेयर टूल में से एक डर्टीमो मैलवेयर है। अब तक रूस में लक्ष्यों के खिलाफ खतरे का लाभ उठाया गया है, लेकिन पीड़ितों का पता यूरोपीय और एशियाई देशों में भी लगाया गया है। इन्फोसेक के शोधकर्ताओं के अनुसार, डर्टीमो से संक्रमित एक लाख के करीब मशीनें वर्तमान में सक्रिय हैं।
डर्टीमो के शुरुआती संस्करणों को इन्फोसेक शोधकर्ताओं द्वारा NuggetPhantom नाम से ट्रैक किया गया था और वे अक्सर अस्थिर थे और साइबर सुरक्षा उत्पादों द्वारा आसानी से पकड़े गए थे। तब से, हालांकि, मैलवेयर का महत्वपूर्ण विकास हुआ है और अब यह एक मायावी, मॉड्यूलर खतरा है जो कई एंटी-डिटेक्शन और एंटी-विश्लेषण तकनीकों को प्रदर्शित करता है।
डर्टीमो की हमले की श्रृंखला हैकर्स के साथ शुरू होती है, जो कई कारनामों के शिकार पीड़ितों की तलाश करती है। उनमें से एक कुख्यात EternalBlue (CVE-2017-0144) भेद्यता है जो 2017 में सामने आई थी, लेकिन जाहिर तौर पर, खतरे वाले अभिनेताओं को अपने हानिकारक कार्यों में इसका दुरुपयोग जारी रखने के लिए इसे सार्थक बनाने के लिए पर्याप्त असुरक्षित सिस्टम बचे हैं। डर्टीमो द्वारा समर्थित एक और कारनामे इंटरनेट एक्सप्लोरर में पाया जाने वाला स्क्रिप्टिंग इंजन मेमोरी करप्शन वल्नरेबिलिटी (CVE-2020-0674) है। असुरक्षित यूआरएल वाले फ़िशिंग ईमेल के ज़रिए पीड़ितों को लालच दिया जाता है.
मॉड्यूलर संरचना
डर्टीमो मैलवेयर की मुख्य विशेषता इसकी प्रतिरूपकता है। मुख्य घटक डर्टीमो कोर है। यह डाउनलोड करने, अपडेट करने, एन्क्रिप्शन करने, बैकअप बनाने और डर्टीमो खतरे से बचाने के लिए जिम्मेदार है। कोर को एक दूषित कोड को डर्टीमो एक्ज़ीक्यूशनर को खिलाने का भी काम सौंपा जाता है, जो तब, जैसा कि नाम से पता चलता है, इसे निष्पादित करेगा। इंजेक्शन कोड को या तो एमओई ऑब्जेक्ट या मॉड्यूल नाम दिया गया है और ऑपरेशन के कमांड-एंड-कंट्रोल सर्वर से प्राप्त किया गया है।
मैलवेयर के खतरे के विशिष्ट व्यवहार को आगे खतरे वाले अभिनेताओं के लक्ष्यों को फिट करने के लिए समायोजित किया जा सकता है। साइबर अपराधी डर्टीमो को वांछित कार्यक्षमता वाले एन्क्रिप्टेड पेलोड को डाउनलोड करने और फिर इसे अपने आप में इंजेक्ट करने का आदेश दे सकते हैं। कुछ ही घंटों में डर्टीमो के हजारों मामलों को इस तरह से बदला जा सकता है। दरअसल, डर्टीमो का इस्तेमाल डीडीओएस हमलों को शुरू करने, क्रिप्टो-माइनिंग गतिविधियों को करने या अतिरिक्त खतरनाक पेलोड, जैसे डेटा कलेक्टर, रैंसमवेयर, ट्रोजन और बहुत कुछ देने के लिए किया जा सकता है।
शक्तिशाली छिपाने और आत्मरक्षा क्षमता
डर्टीमो अपने मुख्य खतरे वाले हिस्से की सुरक्षा के लिए VMProtect का इस्तेमाल करता है। यह एक विंडोज ड्राइवर का भी उपयोग करता है जो आमतौर पर रूटकिट में पाए जाने वाले कई कार्यों को प्रदर्शित करता है जैसे कि सेवा, रजिस्ट्री प्रविष्टि और ड्राइवर छिपाना। ड्राइवर को संक्रमित मशीन के सिस्टम वॉल्यूम पर विशिष्ट फाइलों को छिपाने या किसी भी नई बनाई गई प्रक्रियाओं में मनमानी डीएलएल इंजेक्ट करने का निर्देश दिया जा सकता है। नेटवर्क संचार भी एक शक्तिशाली तकनीक के माध्यम से प्राप्त किया जाता है। इस खतरे में हार्डकोडेड DNS सर्वर का एक सेट होता है जिसका उपयोग वह एक हार्ड-कोडेड डोमेन के लिए DNS अनुरोध करने के लिए करता है। हालांकि, अंतिम आईपी पते और पोर्ट के लिए, डर्टीमो डीएनएस अनुरोधों के एक अलग अनुक्रम का उपयोग करता है। नतीजतन, डर्टीमो अपने अंतिम आईपी को अवरुद्ध करने के लिए प्रतिरोधी हो जाता है। Google, Cloudflare और इसी तरह की सेवाओं जैसे DNS सर्वरों के लिए DNS अनुरोधों को ब्लॉक करना व्यावहारिक रूप से अवास्तविक है।
