पिकाबॉट मैलवेयर
इन्फोसेक शोधकर्ताओं ने पिकाबॉट मैलवेयर को शामिल करते हुए एक अत्यधिक परिष्कृत फ़िशिंग अभियान का पता लगाया है, जो इसे क्यूकबॉट ऑपरेशन को खत्म करने के बाद से सबसे उन्नत फ़िशिंग ऑपरेशन के रूप में चिह्नित करता है। यह धोखाधड़ी वाला ईमेल अभियान सितंबर 2023 में एफबीआई द्वारा QBot के बुनियादी ढांचे को सफलतापूर्वक जब्त करने और बंद करने के बाद शुरू हुआ।
शोधकर्ताओं के अनुसार, पिकाबॉट से पहले, हमले के अभियान में मुख्य रूप से डार्क गेट नामक खतरे का उपयोग किया गया था। हमलावरों द्वारा अपनाई गई तरकीबें और तकनीकें पिछले Qakbot अभियानों में देखी गई चालों और तकनीकों को बारीकी से प्रतिबिंबित करती हैं, जो Qbot खतरे वाले अभिनेताओं के नए मैलवेयर बॉटनेट में संक्रमण का सुझाव देती हैं।
Qbot ईमेल के माध्यम से प्रसारित सबसे व्यापक मैलवेयर बॉटनेट में से एक था। अब, डार्कगेट और पिकाबॉट, जो मॉड्यूलर मैलवेयर लोडर के रूप में क्यूबॉट के साथ कई विशेषताएं साझा करते हैं, उद्यमों के लिए एक महत्वपूर्ण खतरा पेश करते हैं। Qbot के समान, इन नए मैलवेयर लोडरों को नेटवर्क तक प्रारंभिक पहुंच प्राप्त करने के लिए खतरे वाले अभिनेताओं द्वारा नियोजित किए जाने की उम्मीद है, जिससे संभावित रूप से रैंसमवेयर, जासूसी और डेटा चोरी के हमले हो सकते हैं।
PikaBot को फ़िशिंग हमलों के माध्यम से वितरित किया जाता है
इन्फोसेक शोधकर्ताओं ने डार्कगेट मैलवेयर का प्रचार करने वाले धोखाधड़ी से संबंधित ईमेल में उल्लेखनीय वृद्धि देखी है, अक्टूबर 2023 से शुरू होने वाले प्राथमिक पेलोड के रूप में पिकाबॉट को तैनात करने के लिए खतरे वाले अभिनेता आगे बढ़ रहे हैं। थ्रेड, प्राप्तकर्ताओं के बीच विश्वास को बढ़ावा देने के उद्देश्य से एक रणनीति।
एम्बेडेड यूआरएल पर क्लिक करने पर, उपयोगकर्ताओं को लक्ष्य के रूप में उनकी वैधता की पुष्टि करने के लिए जांच की एक श्रृंखला से गुजरना पड़ता है, जिसके बाद उन्हें मैलवेयर ड्रॉपर वाले ज़िप संग्रह को डाउनलोड करने के लिए प्रेरित किया जाता है। यह ड्रॉपर किसी दूरस्थ संसाधन से अंतिम पेलोड पुनर्प्राप्त करता है।
हमलावरों ने प्रभावशीलता निर्धारित करने के लिए विभिन्न प्रारंभिक मैलवेयर ड्रॉपर के साथ प्रयोग किया, जिनमें शामिल हैं:
- एक जावास्क्रिप्ट ड्रॉपर (जेएस ड्रॉपर) पीई या डीएलएल को डाउनलोड करने और निष्पादित करने के लिए डिज़ाइन किया गया है।
- एक्सएलएल फ़ाइल निर्माण के लिए एक ओपन-सोर्स प्रोजेक्ट का लाभ उठाने वाला एक एक्सेल-डीएनए लोडर, मैलवेयर डाउनलोड करने और चलाने के लिए यहां शोषण किया गया है।
- वीबीएस (वर्चुअल बेसिक स्क्रिप्ट) डाउनलोडर माइक्रोसॉफ्ट ऑफिस दस्तावेज़ों में .vbs फ़ाइलों के माध्यम से मैलवेयर निष्पादित करने या कमांड-लाइन निष्पादन योग्य को लागू करने में सक्षम हैं।
- एलएनके डाउनलोडर जो मैलवेयर डाउनलोड करने और निष्पादित करने के लिए माइक्रोसॉफ्ट शॉर्टकट फ़ाइलों (.lnk) का दुरुपयोग करते हैं।
पूरे सितंबर 2023 में, डार्कगेट मैलवेयर ने इन हमलों में अंतिम पेलोड के रूप में काम किया, लेकिन बाद में इसे अक्टूबर 2023 में पिकाबॉट द्वारा बदल दिया गया।
पिकाबॉट में व्यापक विश्लेषण-विरोधी उपाय हैं
2023 की शुरुआत में पेश किया गया, पिकाबॉट एक समकालीन मैलवेयर है जिसमें एक लोडर और एक कोर मॉड्यूल शामिल है, जो मजबूत एंटी-डिबगिंग, एंटी-वीएम और एंटी-इम्यूलेशन तंत्र से लैस है। यह मैलवेयर सावधानीपूर्वक संक्रमित सिस्टम की प्रोफाइल बनाता है और एकत्रित डेटा को अपने कमांड और कंट्रोल (सी2) इंफ्रास्ट्रक्चर तक पहुंचाता है, जहां यह आगे के निर्देशों का इंतजार करता है।
C2 मैलवेयर को मॉड्यूल डाउनलोड करने और निष्पादित करने के लिए निर्देश जारी करता है, जो DLL या PE फ़ाइलों, शेलकोड, या कमांड-लाइन कमांड के रूप में उपलब्ध है, जो एक उपकरण के रूप में इसकी बहुमुखी प्रतिभा को प्रदर्शित करता है।
शोधकर्ताओं ने चेतावनी दी है कि पिकाबॉट और डार्कगेट अभियान कुशल ख़तरनाक अभिनेताओं द्वारा संचालित किए जाते हैं, जिनके कौशल विशिष्ट फ़िशरों से बेहतर होते हैं। नतीजतन, संगठनों से आग्रह किया जाता है कि वे इस अभियान से संबंधित रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) से परिचित हों।
