LOBSHOT मालवेयर मालवर्टाइजिंग इन्वेस्टिगेशन के माध्यम से खोजा गया
इलास्टिक सिक्योरिटी लैब्स के शोधकर्ताओं ने हाल ही में मालवेयर अभियानों में वृद्धि की अपनी गहन जांच के दौरान LOBSHOT नामक एक नए मैलवेयर की खोज की है। LOBSHOT विशेष रुचि का है क्योंकि यह संक्रमित उपकरणों के लिए छिपे हुए VNC (वर्चुअल नेटवर्क कंप्यूटिंग) के खतरे वाले अभिनेताओं को अनुदान देता है। शोधकर्ताओं ने मैलवेयर और TA505 के बीच संबंध भी पाया, जो एक वित्तीय रूप से प्रेरित साइबर अपराधी समूह है जो विभिन्न रैंसमवेयर और बैंकिंग ट्रोजन को तैनात करने के लिए जाना जाता है।
विषयसूची
मालवर्टाइजिंग अभियानों में स्पाइक
मालवेयर विज्ञापन अभियान संख्या में बढ़ रहे हैं, और उनकी गुढ़ प्रकृति उपयोगकर्ताओं के लिए वैध और दुर्भावनापूर्ण विज्ञापनों के बीच अंतर करना कठिन बना देती है। सुरक्षा शोधकर्ताओं ने देखा है कि इस वृद्धि का श्रेय सेवा के रूप में मालवर्टाइजिंग को बेचने वाले खतरों के कर्ताओं को दिया जा सकता है, जो आगे ऑनलाइन विज्ञापनों के साथ बातचीत करते समय सतर्क रहने के महत्व पर प्रकाश डालता है।
अपने पूरे शोध के दौरान, इलास्टिक सिक्योरिटी लैब्स ने व्यापक रूप से उपयोग किए जाने वाले अनुप्रयोगों में विशिष्ट कमजोरियों को लक्षित करने के लिए शोषण किट का उपयोग करने वाले मालवेयर अभियानों में एक प्रमुख स्पाइक देखा। ये अभियान कई लोकप्रिय वेबसाइटों पर तेजी से देखे जा रहे हैं, जिससे लाखों उपयोगकर्ताओं को संभावित खतरों का सामना करना पड़ रहा है। आमतौर पर, इन वेबसाइटों के आगंतुकों को मालवेयर का सामना करना पड़ता है, जब क्लिक किया जाता है, तो शोषण किट लैंडिंग पृष्ठ पर रीडायरेक्ट किया जाता है जहां LOBSHOT अंततः उपयोगकर्ता के डिवाइस पर निष्पादित होता है।
TA505 इंफ्रास्ट्रक्चर
TA505 , साइबर क्रिमिनल ग्रुप, जिस पर LOBSHOT के विकास और तैनाती के पीछे होने का संदेह है, को लंबे समय से इसकी व्यापक दुर्भावनापूर्ण गतिविधियों के लिए मान्यता दी गई है। यह समूह अपने सुव्यवस्थित और विविध प्रकार के हमले अभियानों के लिए जाना जाता है, विशेष रूप से वित्तीय संस्थानों पर उनके प्राथमिक लक्ष्य के रूप में ध्यान केंद्रित करने के साथ-साथ अन्य उद्योगों के लिए उनकी दुर्भावनापूर्ण गतिविधियों का विस्तार भी करता है।
LOBSHOT के विश्लेषण के बाद, Elastic Security Labs ने मालवेयर के इंफ्रास्ट्रक्चर और पहले पहचाने गए TA505 इंफ्रास्ट्रक्चर के बीच स्पष्ट ओवरलैप पाया। हमले के तरीकों और अतिव्यापी बुनियादी ढांचे में समानता इस परिकल्पना को विश्वास दिलाती है कि TA505 LOBSHOT के विकास और सक्रिय उपयोग के लिए जिम्मेदार है।
हिडन वीएनसी एक्सेस
LOBSHOT के सबसे चिंताजनक पहलुओं में से एक इसकी VNC के माध्यम से पीड़ितों के उपकरणों तक गुप्त पहुंच प्रदान करने की इसकी क्षमता है। यह विशिष्ट सुविधा हमलावरों को उपयोगकर्ता की सहमति को दरकिनार करते हुए एक संक्रमित डिवाइस तक दूरस्थ पहुंच प्राप्त करने की अनुमति देती है, जिससे उन्हें उपयोगकर्ता की जानकारी के बिना संवेदनशील डेटा की निगरानी करने, हेरफेर करने और बाहर निकालने की क्षमता मिलती है। छिपी हुई VNC पहुंच LOBSHOT को साइबर अपराधियों के शस्त्रागार में एक शक्तिशाली और खतरनाक उपकरण बनाती है, विशेष रूप से वित्तीय प्रेरणा वाले।
वितरण विधि
देखा गया है कि LOBSHOT मालवेयर की वितरण विधि में भ्रामक रणनीति, Google विज्ञापनों का लाभ उठाना और नकली वेबसाइटों को असुरक्षित पीड़ितों को लुभाने के लिए शामिल किया गया है। ये तकनीकें इस मैलवेयर के पीछे खतरे के कारकों के परिष्कार और अनुकूलनशीलता को प्रदर्शित करती हैं, जिससे अंतिम उपयोगकर्ताओं के लिए ब्राउज़ करते समय और विज्ञापनों पर क्लिक करते समय सतर्क रहना और भी महत्वपूर्ण हो जाता है।
Google विज्ञापनों के माध्यम से नकली वेबसाइटें
LOBSHOT वितरित किए जाने वाले प्राथमिक तरीकों में से एक Google विज्ञापनों के माध्यम से प्रचारित नकली वेबसाइटों के उपयोग के माध्यम से है। धमकी देने वाले इन नकली वेबसाइटों का निर्माण और रखरखाव करते हैं, जिन्हें वैध वेबसाइटों और सेवाओं की नकल करने के लिए डिज़ाइन किया गया है। Google विज्ञापन प्लेटफ़ॉर्म का शोषण करके, विरोधी अपने दुर्भावनापूर्ण विज्ञापनों को उन उपयोगकर्ताओं के सामने प्रदर्शित कर सकते हैं, जो इस धारणा के तहत विज्ञापनों पर क्लिक कर सकते हैं कि वे वास्तविक हैं, जिससे उनके उपकरणों पर LOBSHOT मैलवेयर की स्थापना हो सकती है।
उपयोगकर्ताओं को नकली एनीडेस्क डोमेन पर पुनर्निर्देशित करना
नकली वेबसाइटों का उपयोग करने के अलावा, LOBSHOT मालवेयर के लिए वितरण प्रक्रिया में उपयोगकर्ताओं को नकली AnyDesk डोमेन पर पुनर्निर्देशित करना भी शामिल है। AnyDesk एक लोकप्रिय दूरस्थ डेस्कटॉप एप्लिकेशन है जिस पर कई व्यवसाय और व्यक्ति दूरस्थ पहुंच और समर्थन के लिए भरोसा करते हैं। धमकी देने वालों ने इस भरोसे का लाभ उठाते हुए एक काल्पनिक एनीडेस्क डोमेन बनाकर उपयोगकर्ताओं को सॉफ्टवेयर के दुर्भावनापूर्ण संस्करण को डाउनलोड करने के लिए धोखा दिया, जो वास्तव में LOBSHOT मैलवेयर है। यह विधि इन साइबर अपराधियों द्वारा पीड़ितों को फंसाने और उनकी दुर्भावनापूर्ण गतिविधियों को अंजाम देने के लिए इस्तेमाल की जाने वाली चालाक रणनीति को और उजागर करती है।
समझौता प्रणाली के माध्यम से स्थापना
कुछ मामलों में, LOBSHOT मैलवेयर पीड़ित के डिवाइस पर एक समझौता प्रणाली के माध्यम से स्थापित किया जा सकता है। यह तब हो सकता है जब उपयोगकर्ता अनजाने में किसी ऐसी वेबसाइट पर जाता है या उससे सामग्री डाउनलोड करता है जो मैलवेयर से संक्रमित हो गई है या यदि वे स्पीयर-फ़िशिंग अभियान का लक्ष्य बन गए हैं। एक बार जब मैलवेयर पीड़ित के डिवाइस में सफलतापूर्वक घुसपैठ कर लेता है, तो यह खतरे वाले अभिनेता को छिपी हुई वीएनसी पहुंच प्रदान कर सकता है, जो तब वांछित रूप से सिस्टम को नियंत्रित और हेरफेर कर सकता है।
LOBSHOT की क्षमताएं
LOBSHOT मैलवेयर में दुर्जेय क्षमताओं की एक श्रृंखला होती है जो इसे उपयोगकर्ता उपकरणों में घुसपैठ और शोषण करने में माहिर बनाती है। मैलवेयर मुख्य रूप से छिपे हुए वर्चुअल नेटवर्क कंप्यूटिंग (hVNC) पर केंद्रित है, जिससे हमलावरों को संक्रमित उपकरणों को दूर से नियंत्रित करने और उनके यूजर इंटरफेस तक पहुंचने की अनुमति मिलती है। LOBSHOT की मुख्य क्षमताओं में शामिल हैं:
हिडन वर्चुअल नेटवर्क कंप्यूटिंग (hVNC)
LOBSHOT की कार्यक्षमता के केंद्र में पीड़ित उपकरणों को छिपी हुई VNC पहुँच प्रदान करने की इसकी क्षमता है। hVNC के माध्यम से, हमलावरों को पीड़ित की सहमति या ज्ञान के बिना डिवाइस को दूरस्थ रूप से नियंत्रित करने का एक गुप्त तरीका प्रदान किया जाता है। hVNC सुविधा LOBSHOT को विशेष रूप से खतरनाक बनाती है, क्योंकि यह खराब अभिनेताओं को विभिन्न नापाक गतिविधियों को अंजाम देने के दौरान समझौता किए गए उपकरणों पर चोरी-छिपे उपस्थिति बनाए रखने की अनुमति देती है।
डिवाइस का रिमोट कंट्रोल
LOBSHOT की hVNC क्षमताएँ हमलावरों को संक्रमित उपकरणों का पूर्ण नियंत्रण लेने, आदेशों को निष्पादित करने, परिवर्तन करने और संसाधनों तक पहुँचने में सक्षम बनाती हैं जैसे कि वे वैध उपयोगकर्ता थे। इस स्तर का नियंत्रण खतरे के अभिनेताओं को डेटा की चोरी, अतिरिक्त मैलवेयर स्थापित करने और जासूसी अभियान चलाने सहित दुर्भावनापूर्ण गतिविधियों की एक विस्तृत श्रृंखला को अंजाम देने की अनुमति देता है। पीड़ित के डिवाइस को दूरस्थ रूप से नियंत्रित करने की क्षमता LOBSHOT द्वारा उत्पन्न महत्वपूर्ण खतरे को रेखांकित करती है।
पूर्ण ग्राफिक यूजर इंटरफेस (जीयूआई)
मैलवेयर में लक्षित डिवाइस के पूर्ण ग्राफ़िक यूज़र इंटरफ़ेस (GUI) तक पहुंचने की क्षमता भी होती है, जिसका अर्थ है कि हमलावर डिवाइस के डेस्कटॉप वातावरण के साथ नेत्रहीन रूप से इंटरैक्ट कर सकता है। यह सुविधा खतरे वाले अभिनेता के लिए नेविगेट करने और समझौता किए गए डिवाइस में हेरफेर करने को आसान बनाकर मैलवेयर में दक्षता और नियंत्रण की एक और परत जोड़ती है। पूर्ण जीयूआई तक पहुंच हमलावर को उपयोगकर्ता की गतिविधियों की निगरानी करने, संवेदनशील जानकारी तक पहुंचने और वैध उपयोगकर्ता के लिए जिम्मेदार कार्रवाई करने में सक्षम बनाती है, आगे LOBSHOT की घातकता पर जोर देती है।
शमन और चिंताएं
LOBSHOT मैलवेयर अपनी छिपी VNC क्षमताओं और TA505 जैसे आर्थिक रूप से प्रेरित खतरे वाले अभिनेताओं के साथ जुड़ाव के कारण व्यक्तिगत उपयोगकर्ताओं और संगठनों दोनों के लिए महत्वपूर्ण चिंताएँ प्रस्तुत करता है। शमन और इन चिंताओं को दूर करने में संभावित जोखिमों को समझना और उचित रक्षात्मक उपायों को लागू करना शामिल है, साथ ही Google विज्ञापनों जैसे प्लेटफॉर्म पर सख्त नियमों की मांग करना शामिल है।
चोरी बैंकिंग और वित्तीय जानकारी
LOBSHOT के आसपास प्राथमिक चिंताओं में से एक संक्रमित उपकरणों से बैंकिंग और वित्तीय जानकारी चोरी करने की इसकी क्षमता है। इसकी छिपी हुई वीएनसी पहुंच हमलावरों को उपकरणों में घुसपैठ करने, उपयोगकर्ता की गतिविधियों की निगरानी करने और लॉगिन क्रेडेंशियल्स, खाता संख्या और लेनदेन विवरण जैसे संवेदनशील डेटा पर कब्जा करने की अनुमति देती है। इस तरह की जानकारी का आर्थिक लाभ के लिए उपयोग किया जा सकता है या आगे के हमलों में उपयोग किया जा सकता है, जैसे क्रेडेंशियल स्टफिंग या फ़िशिंग अभियान।
Google पर सख्त विज्ञापन विनियमन का आह्वान
Google विज्ञापनों के माध्यम से मैलवेयर वितरण के बढ़ते खतरे के जवाब में, कई शोधकर्ताओं और सुरक्षा पेशेवरों ने विज्ञापनों की स्वीकृति पर सख्त नियम लागू करने के लिए Google की होल्डिंग कंपनी अल्फाबेट का आह्वान किया है। अधिक मजबूत विज्ञापन स्क्रीनिंग प्रक्रियाओं और सत्यापन तंत्रों को लागू करने से LOBSHOT जैसे मैलवेयर के प्रसार को कम करने में मदद मिल सकती है और इस तरह के खतरों का शिकार होने वाले उपयोगकर्ताओं के जोखिम को कम किया जा सकता है। इस बीच, अंतिम उपयोगकर्ताओं को उनके द्वारा देखे जा रहे डोमेन और उनके द्वारा डाउनलोड किए जा रहे सॉफ़्टवेयर की वैधता की पुष्टि करके सावधानी बरतनी चाहिए।