नाइट्रोजन मैलवेयर
शोधकर्ताओं ने एक प्रारंभिक एक्सेस मैलवेयर अभियान का खुलासा किया है जिसे वे 'नाइट्रोजन' के रूप में ट्रैक कर रहे हैं। साइबर अपराधी, बिना सोचे-समझे पीड़ितों को संक्रमित करने के तरीके के रूप में नकली सॉफ़्टवेयर वेबसाइटों को बढ़ावा देने के लिए Google और Bing खोज विज्ञापनों का उपयोग कर रहे हैं। जो उपयोगकर्ता इन साइटों पर जाते हैं वे अनजाने में खतरनाक कोबाल्ट स्ट्राइक और रैंसमवेयर पेलोड की तैनाती का शिकार हो जाते हैं।
नाइट्रोजन मैलवेयर के पीछे मुख्य उद्देश्य खतरे वाले अभिनेताओं को कॉर्पोरेट नेटवर्क में प्रारंभिक प्रवेश बिंदु प्रदान करना है। एक बार घुसपैठ करने के बाद, दुर्भावनापूर्ण अभिनेता डेटा चोरी को अंजाम देने, साइबर जासूसी में संलग्न होने और अंततः विनाशकारी ब्लैककैट/एएलपीएचवी रैंसमवेयर को उजागर करने की क्षमता हासिल कर लेते हैं।
नाइट्रोजन अभियान के गहन विश्लेषण से इसके प्राथमिक लक्ष्यों का पता चला है, जिसमें मुख्य रूप से उत्तरी अमेरिका में स्थित प्रौद्योगिकी और गैर-लाभकारी संगठन शामिल हैं। हमलावर AnyDesk, Cisco AnyConnect VPN, TreeSize Free और WinSCP जैसे प्रतिष्ठित सॉफ़्टवेयर प्रदाताओं का प्रतिरूपण करके अपनी योजना को अंजाम देते हैं। यह भ्रामक रणनीति उपयोगकर्ताओं को यह विश्वास दिलाती है कि वे वास्तविक सॉफ़्टवेयर तक पहुंच रहे हैं, लेकिन इसके बजाय वे नाइट्रोजन मैलवेयर के खतरों के संपर्क में आ जाते हैं।
इस अभियान में Google और Bing खोज विज्ञापनों का उपयोग परिष्कार की एक अतिरिक्त परत जोड़ता है, जिससे खतरे वाले अभिनेताओं को संभावित पीड़ितों के व्यापक समूह तक पहुंचने में मदद मिलती है। इन लोकप्रिय खोज इंजनों का लाभ उठाकर, हमलावर उपयोगकर्ताओं को धोखाधड़ी वाले सॉफ़्टवेयर लिंक पर क्लिक करने के लिए लुभाने की संभावना बढ़ाते हैं, जिससे दुर्भावनापूर्ण संक्रमण प्रक्रिया शुरू हो जाती है।
नाइट्रोजन मैलवेयर विशिष्ट भौगोलिक स्थानों से पीड़ितों को लक्षित करता है
नाइट्रोजन मैलवेयर अभियान तब शुरू होता है जब उपयोगकर्ता विभिन्न प्रसिद्ध सॉफ़्टवेयर अनुप्रयोगों के लिए Google या Bing खोज करते हैं। इस अभियान में चारा के रूप में उपयोग किए जाने वाले सॉफ़्टवेयर में AnyDesk (एक दूरस्थ डेस्कटॉप एप्लिकेशन), WinSCP (विंडोज़ के लिए एक SFTP/FTP क्लाइंट), सिस्को AnyConnect (एक वीपीएन सूट) और ट्रीसाइज़ फ्री (एक डिस्क-स्पेस कैलकुलेटर और प्रबंधक) शामिल हैं। सॉफ़्टवेयर लालच का चयन हमलावरों के लक्ष्यीकरण मानदंड पर आधारित होता है।
जब कोई उपयोगकर्ता इनमें से किसी सॉफ़्टवेयर एप्लिकेशन को खोजता है, तो संबंधित खोज इंजन एक विज्ञापन प्रदर्शित करता है जो सटीक सॉफ़्टवेयर उत्पाद को बढ़ावा देता है। अनजाने में, उपयोगकर्ता वांछित सॉफ़्टवेयर डाउनलोड करने की उम्मीद में इन प्रतीत होने वाले वैध विज्ञापनों पर क्लिक कर सकते हैं।
हालाँकि, वास्तविक वेबसाइट तक पहुँचने के बजाय, लिंक आगंतुकों को समझौता किए गए वर्डप्रेस होस्टिंग पृष्ठों पर पुनर्निर्देशित करता है। इन पृष्ठों को संबंधित विशिष्ट एप्लिकेशन के लिए आधिकारिक डाउनलोड साइटों की उपस्थिति की नकल करने के लिए कुशलतापूर्वक डिज़ाइन किया गया है।
हालाँकि, हर किसी को असुरक्षित वेबसाइटों पर नहीं ले जाया जाता है। केवल विशिष्ट भौगोलिक क्षेत्रों के आगंतुकों को चुनिंदा रूप से फ़िशिंग साइटों पर पुनर्निर्देशित किया जाता है, जिससे चुने हुए क्षेत्रों से संभावित पीड़ितों को लुभाने की अधिक संभावना सुनिश्चित होती है। यदि कोई विज्ञापन के माध्यम से वहां जाने के बजाय सीधे अपना लिंक खोलकर पृष्ठों तक पहुंचने का प्रयास करता है, तो उन्हें रिक एस्टली के क्लासिक 'नेवर गोना गिव यू अप' के यूट्यूब वीडियो पर रीडायरेक्ट कर दिया जाएगा - एक चाल जिसे रिक-रोलिंग के रूप में जाना जाता है।
नाइट्रोजन मैलवेयर का उपयोग संभावित रूप से समझौता किए गए उपकरणों में रैनसमवेयर पहुंचाने के लिए किया गया था
फर्जी साइटों से वितरित धमकी भरा सॉफ्टवेयर 'install.exe' नाम के ट्रोजनाइज्ड ISO इंस्टालर के रूप में आता है जो एक दूषित DLL फ़ाइल 'msi.dll' (NitrogenInstaller) को ले जाता है और फिर उसे साइडलोड कर देता है। यह नाइट्रोजन मैलवेयर के लिए इंस्टॉलर के रूप में कार्य करता है। इसके अलावा, यह पीड़ितों की ओर से कोई संदेह पैदा करने से बचने के लिए वादा किया गया एप्लिकेशन भी सेट करता है। मैलवेयर एक 'पायथन' रजिस्ट्री रन कुंजी बनाकर एक दृढ़ता तंत्र स्थापित करता है जो पांच मिनट के अंतराल पर चलता है और 'pythonw.exe' नामक दुर्भावनापूर्ण बाइनरी की ओर इशारा करता है।
मैलवेयर का पायथन घटक, जिसे 'python.311.dll' (NitrogenStager) कहा जाता है, हैकर्स के कमांड-एंड-कंट्रोल सर्वर (C2) के साथ संचार स्थापित करने का कार्यभार लेता है। यह पीड़ित के कंप्यूटर पर एक मीटरप्रेटर शेल और कोबाल्ट स्ट्राइक बीकन्स भी शुरू करता है।
कुछ उदाहरणों में, लक्षित सिस्टम पर मीटरप्रेटर स्क्रिप्ट निष्पादित होने के बाद हमलावर व्यावहारिक कार्रवाई में संलग्न हो जाते हैं। वे अतिरिक्त ज़िप फ़ाइलों और पायथन 3 वातावरणों को पुनः प्राप्त करने के लिए मैन्युअल कमांड का उपयोग करते हैं, जो मेमोरी में कोबाल्ट स्ट्राइक को चलाने के लिए आवश्यक हैं, क्योंकि नाइट्रोजनस्टेगर स्वयं पायथन स्क्रिप्ट को निष्पादित नहीं कर सकता है। नाइट्रोजन मैलवेयर की संक्रमण श्रृंखला अंतिम रैंसमवेयर पेलोड की तैनाती के लिए समझौता किए गए उपकरणों को स्टेज करने की ओर इशारा करती है।
