SilentRoute Trojan

साइबर अपराधियों ने एक बार फिर भरोसेमंद सॉफ़्टवेयर को हथियार बनाने का तरीका खोज लिया है, इस बार SSL VPN NetExtender का ट्रोजनाइज़्ड संस्करण बनाकर। साइबर सुरक्षा शोधकर्ताओं द्वारा उजागर किया गया यह हमला अभियान, दूरस्थ नेटवर्क एक्सेस चाहने वाले उपयोगकर्ताओं के लिए एक गंभीर खतरा है।

छद्मवेश में ट्रोजन

इस अभियान के केंद्र में SSL VPN NetExtender क्लाइंट का संशोधित संस्करण है, जो एक वैध उपकरण है जिसे दूरस्थ उपयोगकर्ताओं को एंटरप्राइज़ नेटवर्क से सुरक्षित रूप से कनेक्ट करने की अनुमति देने के लिए डिज़ाइन किया गया है। यह उपयोगकर्ताओं को आंतरिक एप्लिकेशन चलाने, साझा ड्राइव तक पहुँचने और फ़ाइलों को स्थानांतरित करने में सक्षम बनाता है जैसे कि वे कंपनी नेटवर्क पर भौतिक रूप से मौजूद हों।

दुर्भाग्य से, एक अज्ञात खतरा समूह इस सॉफ़्टवेयर का एक नकली संस्करण प्रसारित कर रहा है, जिसमें मैलवेयर इंजेक्ट किया गया है जिसे साइलेंटरूट कहा गया है। एक बार इंस्टॉल हो जाने के बाद, यह दुष्ट संस्करण चुपचाप उपयोगकर्ता से संवेदनशील डेटा चुरा लेता है।

हमला कैसे काम करता है?

हमलावर दुर्भावनापूर्ण नेटएक्सटेंडर इंस्टॉलर को होस्ट करने के लिए एक नकली वेबसाइट का उपयोग कर रहे हैं, जिसे वैध संस्करण 10.3.2.27 के रूप में प्रच्छन्न किया गया है। हालाँकि वेबसाइट को हटा दिया गया है, लेकिन इंस्टॉलर पर कथित तौर पर सिटीलाइट मीडिया प्राइवेट लिमिटेड द्वारा डिजिटल हस्ताक्षर किए गए थे, जिससे इसे वैधता का झूठा आभास मिलता है।

पीड़ितों को संभवतः निम्नलिखित माध्यम से मैलवेयर डाउनलोड करने के लिए लुभाया जा रहा है:

• एसईओ विषाक्तता के माध्यम से खोज परिणामों में नकली वेबसाइटें दिखाई दे रही हैं
• दुर्भावनापूर्ण लिंक वाले स्पीयर-फ़िशिंग ईमेल
• मैलवेयर विज्ञापन अभियान और भ्रामक सोशल मीडिया पोस्ट

डाउनलोड होने के बाद, दुर्भावनापूर्ण इंस्टॉलर दो महत्वपूर्ण घटकों, NeService.exe और NetExtender.exe के संशोधित संस्करणों को तैनात करता है, जिन्हें डिजिटल प्रमाणपत्र सत्यापन को अनदेखा करने के लिए बदल दिया गया है। ये घटक चुपचाप कॉन्फ़िगरेशन डेटा को हमलावर-नियंत्रित सर्वर पर 132.196.198.163:8080 पर भेजते हैं।

क्या चोरी होता है और कैसे?

उपयोगकर्ता द्वारा अपने VPN क्रेडेंशियल दर्ज करने और 'कनेक्ट' बटन दबाने के बाद, ट्रोजन चोरी किए गए डेटा को हमलावर के सर्वर पर भेजने से पहले अपनी जांच करता है। निकाली गई जानकारी में शामिल हैं:

• उपयोगकर्ता नाम
• पासवर्ड
• कार्यक्षेत्र
• VPN सर्वर विवरण और कॉन्फ़िगरेशन डेटा

चुराई गई यह जानकारी हमलावरों को कॉर्पोरेट वातावरण तक अनधिकृत पहुंच प्रदान कर सकती है, जिससे यह एक महत्वपूर्ण साइबर सुरक्षा चिंता का विषय बन सकता है।

सुरक्षित रहने के लिए मुख्य बातें

ऐसे खतरों का शिकार होने से बचने के लिए, संगठनों और उपयोगकर्ताओं को चाहिए:

• वीपीएन और रिमोट एक्सेस टूल केवल आधिकारिक वेबसाइटों या सत्यापित विक्रेताओं से ही डाउनलोड करें।
• ईमेल, विज्ञापन या खोज परिणामों में दिए गए लिंक पर क्लिक करते समय सावधान रहें, विशेष रूप से उन पर जो सॉफ्टवेयर डाउनलोड की पेशकश करते हों।

इसके अतिरिक्त, नेटवर्क प्रशासकों को असामान्य आउटबाउंड कनेक्शनों की निगरानी करनी चाहिए तथा यह सुनिश्चित करना चाहिए कि एंडपॉइंट सुरक्षा प्रणालियां अद्यतन हैं तथा छेड़छाड़ किए गए निष्पादनयोग्यों का पता लगाने के लिए कॉन्फ़िगर की गई हैं।

अंतिम विचार

साइलेंटरूट अभियान प्रतिरूपण और सामाजिक इंजीनियरिंग के माध्यम से मैलवेयर वितरण की बढ़ती परिष्कृतता को उजागर करता है। सतर्कता, मजबूत डिजिटल स्वच्छता के साथ मिलकर, ऐसे भ्रामक खतरों के खिलाफ सबसे अच्छा बचाव है।