बंडलबॉट मैलवेयर
बंडलबॉट नामक एक खतरनाक मैलवेयर संस्करण .NET एकल-फ़ाइल परिनियोजन तकनीकों का लाभ उठाकर पता लगाने से बचते हुए, गुप्त रूप से काम कर रहा है। यह विधि खतरे वाले अभिनेताओं को गुप्त रूप से समझौता किए गए मेजबानों से संवेदनशील जानकारी हासिल करने की अनुमति देती है।
बंडलबॉट को डॉटनेट बंडल (एकल-फ़ाइल) स्व-निहित प्रारूप का फायदा उठाने के लिए जाना जाता है, जिससे सुरक्षा प्रणालियों के लिए इसका पता लगाना चुनौतीपूर्ण हो जाता है। इसके परिणामस्वरूप बहुत कम या यहां तक कि शून्य स्थैतिक पहचान होती है, जिससे मैलवेयर को समझौता किए गए उपकरणों पर लंबे समय तक अनिर्धारित रहने की अनुमति मिलती है।
साइबर सुरक्षा विशेषज्ञों के निष्कर्षों के अनुसार, बंडलबॉट का वितरण आमतौर पर फेसबुक विज्ञापनों और समझौता किए गए खातों के माध्यम से होता है, जो बिना सोचे-समझे उपयोगकर्ताओं को उन वेबसाइटों की ओर ले जाता है जो नियमित प्रोग्राम उपयोगिताओं, एआई टूल और गेम के रूप में सामने आती हैं। एक बार जब उपयोगकर्ता इन भ्रामक वेबसाइटों तक पहुंच जाते हैं, तो वे अनजाने में मैलवेयर के डाउनलोड और निष्पादन को ट्रिगर करते हैं, जिससे उनके सिस्टम और संवेदनशील डेटा खतरे में पड़ जाते हैं।
विषयसूची
साइबर अपराधी फ़िशिंग लालच के रूप में लोकप्रिय एआई टूल का लाभ उठाते हैं
बंडलबॉट मैलवेयर हमलों से जुड़ी वेबसाइटों ने कंपनी द्वारा विकसित एक प्रमुख संवादात्मक जेनरेटर एआई चैटबॉट Google बार्ड की नकल करने की रणनीति अपनाई है। ये भ्रामक वेबसाइटें 'Google_AI.rar' नामक RAR संग्रह के लिए एक आकर्षक डाउनलोड लिंक की पेशकश करके बेखबर पीड़ितों को लुभाती हैं। विशेष रूप से, ये धोखाधड़ी वाले अभिलेख ड्रॉपबॉक्स जैसी वैध क्लाउड स्टोरेज सेवाओं पर होस्ट किए जाते हैं।
AI टूल की बढ़ती लोकप्रियता को देखते हुए Google Bard का आकर्षण के रूप में उपयोग कोई नई बात नहीं है। साइबर अपराधियों ने हाल के महीनों में उपयोगकर्ताओं को धोखा देने के लिए इस प्रवृत्ति का फायदा उठाया है, खासकर फेसबुक जैसे प्लेटफॉर्म पर। वे कुख्यात डोनेरियम जैसे विभिन्न प्रकार की जानकारी एकत्र करने वाले मैलवेयर को गुप्त रूप से वितरित करने के लिए इस रणनीति का उपयोग करते हैं।
इन असुरक्षित लिंक का वितरण अक्सर फेसबुक विज्ञापनों और समझौता किए गए उपयोगकर्ता खातों के माध्यम से होता है। पिछले कुछ समय से धमकी देने वाले अभिनेताओं द्वारा इस पद्धति का लगातार शोषण किया जा रहा है। किसी पीड़ित के फेसबुक खाते की जानकारी चुराने की मैलवेयर की क्षमता के साथ इस वितरण रणनीति को जोड़कर, साइबर अपराधी एक आत्मनिर्भर चक्र बनाते हैं जो उनकी हानिकारक गतिविधियों को बढ़ावा देता है।
बंडलबॉट मैलवेयर खतरे की संक्रमण श्रृंखला
'Google_AI.rar' संग्रह को अनपैक करने पर, उपयोगकर्ताओं को 'GoogleAI.exe' नामक एक निष्पादन योग्य फ़ाइल मिलेगी, जो एक .NET एकल-फ़ाइल, स्व-निहित एप्लिकेशन है। बदले में, यह एप्लिकेशन 'GoogleAI.dll' नामक एक DLL फ़ाइल को शामिल करता है, जो Google ड्राइव से पासवर्ड-संरक्षित ज़िप संग्रह लाने के लिए जिम्मेदार है।
अगले चरण में, 'ADSNEW-1.0.0.3.zip' नामक ज़िप फ़ाइल से निकाली गई सामग्री एक और .NET एकल-फ़ाइल, स्व-निहित एप्लिकेशन को प्रकट करती है जिसे 'RiotClientServices.exe' के नाम से जाना जाता है। यह एप्लिकेशन बंडलबॉट पेलोड 'RiotClientServices.dll' के साथ-साथ 'LirarySharing.dll' नाम का एक कमांड-एंड-कंट्रोल (C2) पैकेट डेटा सीरियलाइज़र प्रदान करता है।
एक बार सक्रिय होने पर, बंडलबॉट मैलवेयर एक कस्टम और नवीन चोरीकर्ता/बॉट के रूप में कार्य करता है। यह C2 सर्वर के साथ बॉट के संचार के दौरान प्रसारित पैकेट डेटा को संसाधित करने और क्रमबद्ध करने के लिए 'LirarySharing.dll' लाइब्रेरी का उपयोग करता है। विश्लेषण से बचने के लिए, बाइनरी कलाकृतियाँ कस्टम-निर्मित ऑबफस्केशन तकनीकों का उपयोग करती हैं और इसमें महत्वपूर्ण मात्रा में जंक कोड शामिल होता है।
बंडलबॉट मैलवेयर में खतरनाक घुसपैठ की कार्यक्षमताएं हैं
मैलवेयर की क्षमताएं चिंताजनक हैं। यह वेब ब्राउज़र से चुपचाप डेटा निकाल सकता है, स्क्रीनशॉट कैप्चर कर सकता है, डिस्कॉर्ड टोकन प्राप्त कर सकता है, टेलीग्राम से जानकारी इकट्ठा कर सकता है और फेसबुक अकाउंट विवरण प्राप्त कर सकता है। मैलवेयर एक परिष्कृत डेटा-चोरी करने वाले बॉट के रूप में काम करता है, जो उपयोगकर्ता की जानकारी के बिना विभिन्न स्रोतों से संवेदनशील जानकारी से समझौता करता है।
दिलचस्प बात यह है कि बंडलबॉट का दूसरा नमूना भी है, जो एक मुख्य अंतर को छोड़कर सभी पहलुओं में लगभग समान है। यह वैरिएंट चोरी की गई जानकारी को दूरस्थ सर्वर तक पहुंचाने के लिए HTTPS का लाभ उठाता है। चुराए गए डेटा को ज़िप संग्रह के रूप में बाहर निकाला जाता है, जिससे हमलावरों को बिना किसी संदेह के पीड़ित की जानकारी को स्थानांतरित करने की अनुमति मिलती है।
