Purple Fox
पर्पल फॉक्स ट्रोजन डाउनलोडर एक खतरा है जो 2018 से मैलवेयर शोधकर्ताओं के रडार पर है। अब तक, विशेषज्ञों का मानना है कि यह ट्रोजन दुनिया भर में 30,000 से अधिक पीड़ितों का दावा करने में कामयाब रहा है। पर्पल फॉक्स ट्रोजन के रचनाकारों ने अपनी धमकी को अपडेट किया है और अब आरआईजी एक्सप्लॉइट किट को लक्षित मेजबान में अपनी रचना को इंजेक्ट करने के लिए नियुक्त कर रहे हैं। पर्पल फॉक्स ट्रोजन डाउनलोडर का पेलोड अब एनएसआईएस इंस्टॉलेशन टूल पर निर्भर नहीं है, बल्कि इसके बजाय, पावरशेल कमांड। इस तरह, हमलावरों ने पूरे ऑपरेशन को शांत करना सुनिश्चित किया है और शोधकर्ताओं या मैलवेयर रोधी साधनों द्वारा देखा जा सकता है। पर्पल फॉक्स ट्रोजन के ऑपरेटर मुख्य रूप से समझौता किए गए मेजबानों पर क्रिप्टो-माइनिंग खतरों को लगाने के लिए इसका इस्तेमाल करते हैं। हालांकि, इस ट्रोजन डाउनलोडर का उपयोग कहीं अधिक हानिकारक खतरों के रोपण के लिए भी किया जा सकता है। एक्सप्लॉइट किट (EK) हाल ही में चल रहे साइबर सुरक्षा खतरों के बीच नहीं रहा है। फिर भी, पिछले कुछ समय से पर्पल फॉक्स के रूप में जानी जाने वाली शोषण किट के माध्यम से डिलीवर किए गए फिल्म्स डाउनलोडर्स का एक मैलवेयर परिवार अब फिर से सुर्खियों में आने की कोशिश कर रहा है। पिछले साल, 30,000 से अधिक उपयोगकर्ता पर्पल फॉक्स के शिकार बन गए, जबकि इस महीने की शुरुआत में, मैलवेयर शोधकर्ताओं ने एक नया संस्करण पेश किया, जिसने अपने पिछले शस्त्रागार में कुछ और Microsoft कारनामों को जोड़ा है। इस मैलवेयर का मुख्य लक्ष्य पहले की तरह ही रहता है, टारजन्स, रैनसमवेयर, क्रिप्टो माइनर्स, और जानकारी चुराने वालों जैसे अन्य लक्षित सिस्टमों पर खतरे की तैनाती के लिए। इससे पहले, पर्पल फॉक्स मैलवेयर परिवार की धमकियों को तीसरे पक्ष के शोषण किट आरआईजी द्वारा वितरित किया गया था। हालांकि, 2019 के बाद से, बैंगनी फॉक्स के ऑपरेटरों ने मैलवेयर को डिलीवर करने और पुनः प्राप्त करने के लिए Microsoft PowerShell में स्थानांतरित कर दिया, जिससे यह खतरा RIG EK का प्रतिस्थापन बन गया। पर्पल फॉक्स के नए रैम्प्ड संस्करण अब दो अतिरिक्त Microsoft कमजोरियों का फायदा उठा सकते हैं - पहला जो स्थानीय विशेषाधिकार उन्नयन की अनुमति देता है और जिसका नाम CVE-2019-1458 है; दूसरा, CVE-2020-0674, इंटरनेट एक्सप्लोरर में एक सुरक्षा अंतर है। हालांकि, दोनों को पहले ही पैच कर दिया गया है, बैंगनी फॉक्स मालिकों की वर्तमान दुर्भावनापूर्ण कमजोरियों के शीर्ष पर रहने के लिए मैलवेयर शोधकर्ताओं को संकेत है कि उन्हें अभी भी अपने रडार पर शोषण किट रखना चाहिए।
विषयसूची
बैंगनी फॉक्स ट्रोजन द्वारा प्रयुक्त शोषण
यह संभावना है कि पर्पल फॉक्स ट्रोजन डाउनलोडर के व्यवस्थापक आरआईजी एक्सप्लॉइट किट के उपयोग के अलावा अन्य प्रसार विधियों को नियोजित कर सकते हैं। विशेषज्ञों का मानना है कि पर्पल फॉक्स ट्रोजन को प्रचार अभियानों के साथ-साथ फर्जी डाउनलोड के जरिए भी प्रचारित किया जा सकता है। वर्तमान में, बैंगनी फॉक्स ट्रोजन के प्रसार में इस्तेमाल किया जाने वाला RIG एक्सप्लॉइट किट कई कमजोरियों के लिए पीड़ितों की जाँच कर रहा है:
- VBScript शोषण - CVE-2018-8174
- Adobe Flash शोषण - CVE-2018-15982
- इंटरनेट एक्सप्लोरर शोषण - CVE-2014-6332।
- यदि घुसपैठ किए गए खाते में प्रशासक की अनुमति नहीं है, तो खतरा CVE-2018-8120 और CVE-2015-1701 के लिए दिखेगा।
पर्पल फॉक्स डाउनलोडर के पूर्व संस्करणों के समान, इस संस्करण में व्यवस्थापक विशेषाधिकारों वाली फाइलें हैं, जो तब भ्रष्ट ड्राइवरों के माध्यम से, उदाहरण के लिए, मेजबान पर पहले से मौजूद समान फाइलों की नकल करके सिस्टम पर अपने अस्तित्व को मुखौटा बनाने के लिए उपयोग की जाती हैं।
पर्पल फॉक्स माइक्रोसॉफ्ट पॉवरशेल के माध्यम से कमजोरियों को उजागर करता है
अपने दुर्भावनापूर्ण कार्यों का संचालन करने के लिए, पर्पल फॉक्स पॉवरशेल को चलाने के लिए बेजोड़ कमजोरियों पर हमला करता है और अपर्याप्त संरक्षित प्रणालियों पर अतिरिक्त मैलवेयर डाउनलोड करता है। इस तरह के हमले को आमतौर पर शुरू किया जाता है जब एक उपयोगकर्ता एक भ्रष्ट वेबसाइट पर जाता है जिसे पर्पल फॉक्स दुर्भावनापूर्ण स्क्रिप्ट के साथ इंजेक्ट किया गया है। मैलवेयर उन कमजोरियों का पता लगाता है जिन्हें सिस्टम से समझौता करने की आवश्यकता होती है और फिर लक्ष्य मशीन में घुसपैठ कर लेता है जबकि उपयोगकर्ता अभी भी दी गई वेबसाइट पर है। आमतौर पर, उपयोगकर्ता दुर्भावनापूर्ण विज्ञापनों या स्पैम ई-मेल द्वारा पुनर्निर्देशित होने के बाद ऐसे खतरनाक पृष्ठों पर उतरते हैं। जब संक्रमण CVE-2020-0674 विंडोज भेद्यता का शोषण करके हुआ है, तो बैंगनी फॉक्स "jscript.dll" लाइब्रेरी को लक्षित करता है, जिसका उपयोग कंप्यूटर के वेब ब्राउज़र द्वारा किया जाता है। फिर, मैलवेयर उस लाइब्रेरी में RegExp से एक पता निकालता है, jscript.dll पीई हेडर पाता है, और फिर इंपोर्ट डिक्रिप्टर का पता लगाता है जिसकी मदद से पर्पल फॉक्स ने मशीन पर अपना शेलकोड लोड किया है। यह शेलकोड तब WinExec पाता है और एक प्रक्रिया बनाता है जो वास्तविक मैलवेयर निष्पादन को लॉन्च करता है। फिर, सिस्टम रिबूट के बाद अपनी रजिस्ट्री प्रविष्टियों और फाइलों को छिपाने के लिए पर्पल फॉक्स अपनी रूटकिट क्षमताओं का उपयोग करता है। शोधकर्ताओं ने पाया है कि पर्पल फॉक्स अपने रूटकिट घटकों को एक ओपन-सोर्स कोड का दुरुपयोग करके सक्षम बनाता है, जो मैलवेयर को अपने DLL को छिपाने और रिवर्स-इंजीनियरिंग को रोकने में मदद करता है।
आप बैंगनी फॉक्स से बच सकते हैं
जाहिर है, उपयोगकर्ता कुछ सरल सुझावों का पालन करके पर्पल फॉक्स मैलवेयर और अन्य समान शोषण किटों के शिकार होने से बच सकते हैं। पहले वाला हमेशा अपने विंडोज सिस्टम को ज्ञात कमजोरियों के लिए नवीनतम पैच स्थापित करके अद्यतित रखना होगा। प्रशासक उपकरणों के विशेषाधिकारों की निगरानी और उन्हें सीमित करना कम से कम विशेषाधिकार के सिद्धांत को लागू करने की अनुमति देता है। इसके अलावा, एक पेशेवर एंटी-मालवेयर सॉल्यूशन जो सुरक्षा की उन्नत परतें प्रदान करता है, पर्पल फॉक्स की तरह खतरों को दूर करने में सक्षम होगा। उपयोगकर्ताओं को साइबर सुरक्षा को अधिक गंभीरता से लेना शुरू करना होगा। मैलवेयर शोधकर्ताओं द्वारा सबसे आम सिफारिशों में से एक आपके सभी सॉफ़्टवेयर को अपडेट रखना है। दुर्भाग्य से, ऑनलाइन उपयोगकर्ताओं के अधिकांश यह एक थकाऊ कार्य के लिए बहुत अधिक है। हालाँकि, यदि आपके सभी एप्लिकेशन अप-टू-डेट हैं, तो पर्पल फॉक्स ट्रोजन डाउनलोडर जैसा खतरा आपके सिस्टम में घुसपैठ करने में असमर्थ होगा क्योंकि यह आउटडेटेड सॉफ्टवेयर में पाई गई कमजोरियों पर निर्भर करता है। इसके अलावा, सुनिश्चित करें कि एक वैध एंटी-मैलवेयर समाधान मौजूद है, जो आपको किसी भी अवांछित एप्लिकेशन का पता लगाने और निकालने में मदद करेगा।
