बैडस्पेस बैकडोर
असली लेकिन समझौता की गई वेबसाइटों का इस्तेमाल बैडस्पेस नामक विंडोज बैकडोर को वितरित करने के लिए किया जा रहा है, जिसे नकली ब्राउज़र अपडेट के रूप में छिपाया जाता है। हमलावर की रणनीति में कई चरण शामिल हैं, जिसमें संक्रमित वेबसाइट, कमांड-एंड-कंट्रोल (C2) सर्वर, कभी-कभी एक भ्रामक ब्राउज़र अपडेट और अंत में, पीड़ित के सिस्टम पर बैकडोर को प्रत्यारोपित करने के लिए एक JScript डाउनलोडर शामिल है।
विषयसूची
साइबर अपराधी बैडस्पेस बैकडोर को फैलाने के लिए समझौता किए गए साइटों का फायदा उठाते हैं
प्रक्रिया एक समझौता की गई वेबसाइट से शुरू होती है, जिसमें वर्डप्रेस का उपयोग करने वाली वेबसाइटें शामिल हो सकती हैं, जहां भ्रष्ट कोड इंजेक्ट किया जाता है। इस कोड में यह पता लगाने के लिए तर्क होता है कि क्या किसी विज़िटर ने पहले साइट एक्सेस की है। पहली बार विज़िट करने पर, कोड डिवाइस, आईपी एड्रेस, यूजर एजेंट और लोकेशन के बारे में डेटा इकट्ठा करता है, और इसे HTTP GET अनुरोध के माध्यम से एक पूर्वनिर्धारित डोमेन पर भेजता है।
जवाब में, सर्वर वेब पेज पर एक नकली Google Chrome अपडेट प्रॉम्प्ट ओवरले करता है। यह प्रॉम्प्ट मैलवेयर को सीधे या जावास्क्रिप्ट डाउनलोडर के माध्यम से डिलीवर करने के साधन के रूप में कार्य करता है, जो बाद में बैडस्पेस को डाउनलोड और आरंभ करता है।
बैडस्पेस बैकडोर कई तरह की घुसपैठ वाली गतिविधियां कर सकता है
बैडस्पेस न केवल एंटी-सैंडबॉक्स चेक करता है और शेड्यूल किए गए कार्यों के माध्यम से दृढ़ता स्थापित करता है, बल्कि सिस्टम डेटा भी इकट्ठा करता है। यह स्क्रीनशॉट लेने, cmd.exe के माध्यम से कमांड चलाने, फ़ाइलों में हेरफेर करने और शेड्यूल किए गए कार्यों को हटाने सहित विभिन्न कमांड निष्पादित कर सकता है।
हमले में इस्तेमाल किए गए कमांड-एंड-कंट्रोल (C2) सर्वर की जांच से पता चला है कि SocGholish (जिसे FakeUpdates के नाम से भी जाना जाता है) नामक एक ज्ञात मैलवेयर से लिंक है। SocGholish एक जावास्क्रिप्ट-आधारित डाउनलोडर मैलवेयर है जिसे इसी तरह की विधि से वितरित किया जाता है।
सुरक्षा शोधकर्ताओं ने व्यक्तियों और संगठनों दोनों को ही इस बात के प्रति आगाह किया है कि समझौता की गई वेबसाइटों पर नकली ब्राउज़र अपडेट रणनीति का उपयोग करने वाले अभियानों में वृद्धि हुई है। इन अभियानों का उद्देश्य सूचना चुराने वाले और रिमोट एक्सेस ट्रोजन (RAT) वितरित करना है।
पीछे से धमकियाँ पीड़ितों के लिए गंभीर परिणाम उत्पन्न कर सकती हैं
बैकडोर मैलवेयर खतरे पीड़ितों के लिए महत्वपूर्ण जोखिम पैदा करते हैं और गंभीर परिणाम पैदा कर सकते हैं:
- डेटा चोरी : बैकडोर चुपचाप संवेदनशील जानकारी एकत्र कर सकते हैं, जैसे पासवर्ड, वित्तीय डेटा, व्यक्तिगत दस्तावेज और बौद्धिक संपदा। इस एकत्रित डेटा का उपयोग विभिन्न हानिकारक उद्देश्यों के लिए किया जा सकता है, जिसमें पहचान की चोरी, वित्तीय धोखाधड़ी या कॉर्पोरेट जासूसी शामिल है।
संक्षेप में, बैकडोर मैलवेयर खतरों के गंभीर और दूरगामी परिणाम हो सकते हैं, जो न केवल पीड़ित की डिजिटल परिसंपत्तियों को प्रभावित करते हैं, बल्कि उनकी वित्तीय स्थिरता, गोपनीयता और प्रतिष्ठा को भी प्रभावित करते हैं।
