Threat Database Malware EnvyScout मैलवेयर

EnvyScout मैलवेयर

EnvyScout एक नया मैलवेयर स्ट्रेन है जिसका उपयोग फ़िशिंग हमले में किया गया था, जिसने यूनाइटेड स्टेट्स एजेंसी फॉर इंटरनेशनल डेवलपमेंट (USAID) का प्रतिरूपण किया था। ऑपरेशन के लिए जिम्मेदार खतरे वाले अभिनेता APT29 से हैं, वही हैकर सामूहिक जिसने सोलरविंड्स के खिलाफ आपूर्ति-श्रृंखला पर हमला किया। माना जाता है कि APT29 का रूस से संबंध है। एक ही खतरे वाले अभिनेता को नामित करने के लिए इस्तेमाल किए जाने वाले अन्य नाम नोबेलियम, सोलरस्टॉर्म, डार्कहेलो, एनसी 2452 और स्टेलरपार्टाइल हैं।

हैकर्स यूएसएआईडी से संबंधित एक संपर्क खाते से समझौता करने में कामयाब रहे और फिर 150 से अधिक विभिन्न संस्थाओं को 3000 से अधिक फ़िशिंग ईमेल भेजने के लिए आगे बढ़े। लक्ष्यों में मानवाधिकार और मानवीय कार्यों के साथ-साथ अंतर्राष्ट्रीय विकास से जुड़े संगठन और सरकारी एजेंसियां शामिल थीं। इन्फोसेक के शोधकर्ताओं ने यूएसएआईडी हमले के हिस्से के रूप में चार पहले कभी नहीं देखे गए मैलवेयर उपभेदों की खोज की - 'EnvyScout' नामक एक HTML अटैचमेंट, ' बूमबॉक्स ' नामक एक डाउनलोडर , 'नेटिवज़ोन' नामक एक लोडर और 'वापररेज ' नामक एक शेलकोड। समझौता मशीनों पर गिराए जाने वाला पहला खतरा EnvyScout है।

EnvyScout विवरण

Microsoft ने USAID हमले में प्रयुक्त मालवेयर का विश्लेषण किया और अपने निष्कर्षों के साथ एक रिपोर्ट जारी की। EnvyScout को अगले चरण के पेलोड को संक्रमित सिस्टम पर छोड़ने के लिए डिज़ाइन किया गया है, जबकि कुछ डेटा को कैप्चर और एक्सफ़िल्टर करना - मुख्य रूप से विंडोज़ खातों के NTLM क्रेडेंशियल। खतरा एक HTML/JS फ़ाइल अटैचमेंट है जिसे 'NV.html' नाम से वितरित किया जाता है। निष्पादित होने पर, NV फ़ाइल एक फ़ाइल से एक छवि लोड करने का प्रयास करेगी: // URL। उसी समय, लॉग किए गए उपयोगकर्ता के विंडोज एनटीएलएम क्रेडेंशियल्स को हैकर्स के नियंत्रण में एक दूरस्थ सर्वर पर भेजा जा सकता है। साइबर अपराधी तब डेटा में निहित प्लेन टेक्स्ट पासवर्ड तक पहुंचने का प्रयास क्रूर-बल विधियों के माध्यम से कर सकते हैं।

EnvyScout एक एम्बेडेड टेक्स्ट ब्लॉब को 'NV.img' नाम की एक दूषित छवि फ़ाइल में परिवर्तित करके हमले को बढ़ा देगा जिसे स्थानीय सिस्टम पर सहेजा जाएगा। यदि छवि फ़ाइल उपयोगकर्ता द्वारा शुरू की जाती है, तो यह NV नामक एक शॉर्टकट प्रदर्शित करेगी जो 'BOOM.exe' नामक एक छिपी हुई फ़ाइल को निष्पादित करेगी। छिपी हुई फ़ाइल बूमबॉक्स मैलवेयर के लिए अगले चरण के पेलोड का हिस्सा है।

यह ध्यान दिया जाना चाहिए कि EnvyScout को एक अलग फ़िशिंग अभियान में तैनात किया गया था। इन्फोसेक के शोधकर्ता फ्लोरियन रोथ के अनुसार, यह खतरा बेल्जियम के दूतावास से आने वाले आधिकारिक पत्राचार के रूप में प्रस्तुत फ़िशिंग ईमेल से जुड़ा था।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...