एटॉमिक macOS स्टीलर मैलवेयर
साइबर सुरक्षा शोधकर्ताओं ने एक नए मैलवेयर अभियान का पता लगाया है, जो एप्पल मैकओएस सिस्टम से समझौता करने के लिए डिज़ाइन किए गए सूचना-चोरी मैलवेयर, एटॉमिक मैकओएस स्टीलर (एएमओएस) को वितरित करने के लिए क्लिकफिक्स नामक भ्रामक सोशल इंजीनियरिंग रणनीति का लाभ उठाता है।
विषयसूची
टाइपोस्क्वैट रणनीति: स्पेक्ट्रम का प्रतिरूपण करना
इस अभियान के पीछे हमलावरों ने अमेरिका स्थित दूरसंचार प्रदाता स्पेक्ट्रम की नकल करते हुए टाइपोस्क्वैट डोमेन का इस्तेमाल किया है, पैनल-स्पेक्ट्रम.नेट और स्पेक्ट्रम-टिकट.नेट जैसी धोखाधड़ी वाली वेबसाइटों का इस्तेमाल करके अनजान उपयोगकर्ताओं को लुभाया है। ये दिखने में एक जैसे डोमेन वैध दिखने के लिए बनाए गए हैं, जिससे उपयोगकर्ता के भरोसे और बातचीत की संभावना बढ़ जाती है।
दुर्भावनापूर्ण शेल स्क्रिप्ट: छिपा हुआ पेलोड
इन नकली साइटों पर जाने वाले किसी भी macOS उपयोगकर्ता को एक दुर्भावनापूर्ण शेल स्क्रिप्ट दी जाती है। यह स्क्रिप्ट पीड़ितों को उनके सिस्टम पासवर्ड दर्ज करने के लिए प्रेरित करती है और क्रेडेंशियल्स चुराने, macOS सुरक्षा नियंत्रणों को बायपास करने और आगे के शोषण के लिए AMOS मैलवेयर का एक प्रकार स्थापित करने के लिए आगे बढ़ती है। कम प्रोफ़ाइल बनाए रखते हुए स्क्रिप्ट की प्रभावशीलता को अधिकतम करने के लिए मूल macOS कमांड का उपयोग किया जाता है।
उत्पत्ति के निशान: रूसी-भाषा कोड टिप्पणियाँ
साक्ष्य बताते हैं कि इस अभियान के पीछे रूसी भाषी साइबर अपराधी हो सकते हैं। शोधकर्ताओं ने मैलवेयर के स्रोत कोड में रूसी भाषा की टिप्पणियाँ पाईं, जो ख़तरा पैदा करने वाले संभावित भौगोलिक और भाषाई मूल की ओर इशारा करती हैं।
भ्रामक कैप्चा: क्लिकफिक्स का लालच
यह हमला एक नकली hCaptcha सत्यापन संदेश से शुरू होता है जो उपयोगकर्ता के कनेक्शन की सुरक्षा की जाँच करने का दावा करता है। 'मैं मानव हूँ' चेकबॉक्स पर क्लिक करने के बाद, उपयोगकर्ताओं को एक नकली त्रुटि संदेश मिलता है: 'CAPTCHA सत्यापन विफल हुआ।' फिर उन्हें "वैकल्पिक सत्यापन" के साथ आगे बढ़ने के लिए कहा जाता है।
यह क्रिया क्लिपबोर्ड पर एक दुर्भावनापूर्ण कमांड की प्रतिलिपि बनाती है और उपयोगकर्ता के ऑपरेटिंग सिस्टम के आधार पर निर्देश प्रदर्शित करती है। macOS पर, पीड़ितों को टर्मिनल ऐप में कमांड पेस्ट करने और चलाने के लिए निर्देशित किया जाता है, जिससे AMOS का डाउनलोड शुरू हो जाता है।
लापरवाहीपूर्ण क्रियान्वयन: कोड में सुराग
अभियान के ख़तरनाक इरादे के बावजूद, शोधकर्ताओं ने हमले के बुनियादी ढांचे में विसंगतियों को देखा। डिलीवरी पेजों में खराब तर्क और प्रोग्रामिंग त्रुटियाँ देखी गईं, जैसे:
- लिनक्स उपयोगकर्ताओं के लिए PowerShell कमांड की प्रतिलिपि बनाई जा रही है।
- विंडोज़-विशिष्ट निर्देश विंडोज़ और मैक दोनों उपयोगकर्ताओं को दिखाए गए हैं।
- प्रदर्शित ओएस और निर्देशों के बीच फ्रंट-एंड बेमेल।
क्लिकफिक्स का उदय: एक बढ़ता हुआ खतरा वेक्टर
यह विकास पिछले वर्ष में कई मैलवेयर अभियानों में ClickFix रणनीति के उपयोग में बढ़ती प्रवृत्ति का हिस्सा है। ख़तरा पैदा करने वाले लोग प्रारंभिक पहुँच के लिए लगातार समान तकनीकों, उपकरणों और प्रक्रियाओं (TTPs) का उपयोग करते हैं, सबसे आम तौर पर:
- स्पीयर फ़िशिंग
- ड्राइव-बाय डाउनलोड
- GitHub जैसे विश्वसनीय प्लेटफ़ॉर्म के माध्यम से साझा किए गए दुर्भावनापूर्ण लिंक
फर्जी समाधान, वास्तविक नुकसान: सोशल इंजीनियरिंग अपने सबसे बुरे रूप में
पीड़ितों को यह विश्वास दिलाया जाता है कि वे एक सौम्य तकनीकी समस्या का समाधान कर रहे हैं। वास्तव में, वे हानिकारक आदेशों को निष्पादित कर रहे हैं जो मैलवेयर इंस्टॉल करते हैं। सोशल इंजीनियरिंग का यह रूप उपयोगकर्ता जागरूकता और मानक सुरक्षा तंत्र को दरकिनार करने में अत्यधिक प्रभावी है।
बढ़ता प्रभाव: वैश्विक प्रसार और विविध पेलोड
क्लिकफिक्स अभियान संयुक्त राज्य अमेरिका, यूरोप, मध्य पूर्व और अफ्रीका (ईएमईए) में ग्राहक परिवेशों में पाए गए हैं। ये हमले तेजी से विविधतापूर्ण होते जा रहे हैं, जो न केवल एएमओएस जैसे चोर बल्कि ट्रोजन और रैनसमवेयर भी प्रदान करते हैं। जबकि पेलोड अलग-अलग हो सकते हैं, मुख्य कार्यप्रणाली एक समान रहती है: सुरक्षा से समझौता करने के लिए उपयोगकर्ता व्यवहार में हेरफेर करना।
निष्कर्ष: सतर्कता आवश्यक है
यह अभियान निरंतर सतर्कता, उपयोगकर्ता शिक्षा और मजबूत सुरक्षा नियंत्रण के महत्व को रेखांकित करता है। जैसे-जैसे ClickFix जैसी सामाजिक इंजीनियरिंग रणनीतियाँ विकसित होती हैं, संगठनों और व्यक्तियों को समान रूप से सूचित रहना चाहिए और ऐसे भ्रामक खतरों को पहचानने और उन्हें रोकने के लिए तैयार रहना चाहिए।
