डार्कमी मैलवेयर

माइक्रोसॉफ्ट डिफेंडर स्मार्टस्क्रीन में हाल ही में सामने आई सुरक्षा भेद्यता का उपयोग वाटर हाइड्रा नामक एक उन्नत लगातार खतरे वाले समूह द्वारा शून्य-दिन के शोषण के रूप में किया गया है, जिसे डार्क कैसिनो के रूप में भी पहचाना जाता है। इस हमले का प्राथमिक लक्ष्य वित्तीय बाज़ार व्यापार में शामिल व्यक्ति हैं। शोधकर्ताओं को इस दुर्भावनापूर्ण अभियान का पता दिसंबर 2023 में चला।

हमलावर CVE-2024-21412 का लाभ उठा रहे हैं, जो इंटरनेट शॉर्टकट फ़ाइलों (.URL) से जुड़ी एक सुरक्षा बाईपास भेद्यता है। हमले के क्रम में, धमकी देने वाला अभिनेता माइक्रोसॉफ्ट डिफेंडर स्मार्टस्क्रीन को दरकिनार करने के लिए CVE-2024-21412 का उपयोग करता है और पहले से न सोचा पीड़ितों को संक्रमित करने के लिए डार्कमी मैलवेयर पेश करता है।

तब से Microsoft ने अपने फरवरी पैच मंगलवार अपडेट में इस भेद्यता को संबोधित किया है। कंपनी के अनुसार, एक अप्रमाणित हैकर लक्षित उपयोगकर्ता को विशेष रूप से तैयार की गई फ़ाइल भेजकर दोष का लाभ उठा सकता है, जिससे उन्हें सुरक्षा जांच को बायपास करने की अनुमति मिल सकती है। हालाँकि, शोषण की सफलता धमकी देने वाले अभिनेता द्वारा पीड़ित को फ़ाइल लिंक पर क्लिक करने और हमलावर द्वारा नियंत्रित सामग्री को देखने के लिए समझाने पर निर्भर करती है।

डार्कमी मैलवेयर एक मल्टी-स्टेज अटैक चेन के माध्यम से तैनात किया गया है

डार्कमी न केवल अतिरिक्त निर्देशों को डाउनलोड करने और निष्पादित करने की क्षमता प्रदर्शित करता है, बल्कि खुद को कमांड-एंड-कंट्रोल (सी2) सर्वर के साथ पंजीकृत करने और समझौता किए गए सिस्टम से जानकारी एकत्र करने की भी क्षमता प्रदर्शित करता है।

देखी गई संक्रमण प्रक्रिया के दौरान, CVE-2024-21412 का उपयोग एक हानिकारक इंस्टॉलर फ़ाइल ('7z.msi') को तैनात करने के लिए नियोजित किया जाता है। यह पीड़ितों को मूर्खतापूर्ण यूआरएल ('fxbulls.ru') पर क्लिक करने के लिए लुभाकर हासिल किया जाता है, जिसे विदेशी मुद्रा व्यापार मंचों के माध्यम से प्रसारित किया जाता है। स्टॉक चार्ट छवि का लिंक साझा करने की आड़ में लालच प्रस्तुत किया जाता है। हालाँकि, लिंक की वास्तविक सामग्री एक इंटरनेट शॉर्टकट फ़ाइल ('photo_2023-12-29.jpg.url') है।

'fxbulls.ru' पर लैंडिंग पृष्ठ में सावधानीपूर्वक तैयार किए गए फ़िल्टर किए गए दृश्य के साथ खतरनाक WebDAV शेयर की ओर ले जाने वाला एक लिंक है। जब उपयोगकर्ता इस लिंक पर क्लिक करते हैं, तो ब्राउज़र उन्हें इसे विंडोज एक्सप्लोरर में खोलने के लिए संकेत देता है। विशेष रूप से, यह एक सुरक्षा संकेत को ट्रिगर नहीं करता है, जिससे संभावित रूप से उपयोगकर्ता लिंक की असुरक्षित प्रकृति को नजरअंदाज कर देता है।

इस योजना का एक उल्लेखनीय पहलू खतरे वाले अभिनेता द्वारा खोज एप्लिकेशन प्रोटोकॉल का शोषण है, जिसका उपयोग आमतौर पर विंडोज़ पर डेस्कटॉप खोज एप्लिकेशन को कॉल करने के लिए किया जाता है। मैलवेयर पहुंचाने के लिए इस प्रोटोकॉल का अतीत में दुरुपयोग किया गया है। इस प्रोटोकॉल में अभिनेता का चतुर हेरफेर संक्रमण प्रक्रिया में धोखे की एक अतिरिक्त परत जोड़ता है।

एपीटी (एडवांस्ड परसिस्टेंट थ्रेट) समूह अक्सर शून्य-दिवस की कमजोरियों का फायदा उठाते हैं

डार्कमी संक्रमण श्रृंखला में प्रयुक्त संदर्भ के लिए यह विशिष्ट दृष्टिकोण एक अन्य शॉर्टकट के भीतर एक शॉर्टकट के उपयोग से उत्पन्न होता है, जो स्मार्टस्क्रीन को दरकिनार करने में प्रभावी साबित हुआ है। इस उदाहरण में, स्मार्टस्क्रीन वेब के मार्क (MotW) को उचित रूप से लागू करने में विफल रहता है, जो एक महत्वपूर्ण विंडोज घटक है जो अविश्वसनीय स्रोतों से फ़ाइलें खोलने या चलाने पर उपयोगकर्ताओं को सचेत करने के लिए डिज़ाइन किया गया है।

इस अभियान का अंतिम उद्देश्य पृष्ठभूमि में डार्कमी नामक विज़ुअल बेसिक ट्रोजन को गुप्त रूप से वितरित करना है। इसके साथ ही, अभियान पीड़ित को स्टॉक ग्राफ दिखाकर, शोषण और संक्रमण श्रृंखला की वास्तविक प्रकृति को छिपाकर एक भ्रामक मुखौटा बनाए रखता है।

यह उल्लेखनीय है कि नई खोजी गई शून्य-दिन की कमजोरियां, जिन्हें अक्सर साइबर अपराध समूहों द्वारा पहचाना जाता है, राष्ट्र-राज्य हैकिंग समूहों के शस्त्रागार में अपना रास्ता खोज सकती हैं। वाटर हाइड्रा जैसे इन परिष्कृत हमलावरों के पास उन्नत अभियानों में शून्य-दिन की कमजोरियों को उजागर करने और उनका फायदा उठाने के लिए आवश्यक तकनीकी विशेषज्ञता और उपकरण हैं। यह उन्हें डार्कमी जैसे अत्यधिक विनाशकारी मैलवेयर को तैनात करने में सक्षम बनाता है, जो जटिल और शक्तिशाली हमलों को अंजाम देने की उनकी क्षमता को प्रदर्शित करता है।