स्नैपीक्लाइंट मैलवेयर
SnappyClient एक बेहद उन्नत मैलवेयर है जिसे C++ में लिखा गया है और HijackLoader नामक लोडर के माध्यम से वितरित किया जाता है। यह रिमोट एक्सेस ट्रोजन (RAT) के रूप में कार्य करता है, जिससे साइबर अपराधी प्रभावित सिस्टमों पर नियंत्रण कर सकते हैं और संवेदनशील डेटा निकाल सकते हैं। डिवाइस में प्रवेश करने के बाद, मैलवेयर कमांड-एंड-कंट्रोल (C2) सर्वर से जुड़कर निर्देश प्राप्त करता है और दुर्भावनापूर्ण क्रियाएं करता है।
विषयसूची
बचाव तकनीकें और प्रणाली में हेरफेर
पकड़े जाने से बचने के लिए, SnappyClient विंडोज के अंतर्निहित सुरक्षा तंत्रों में हस्तक्षेप करता है। इसकी एक प्रमुख रणनीति एंटीमैलवेयर स्कैन इंटरफेस (AMSI) में छेड़छाड़ करना है, जो स्क्रिप्ट और कोड को दुर्भावनापूर्ण गतिविधियों के लिए स्कैन करने के लिए जिम्मेदार है। खतरों को चिह्नित करने के लिए AMSI को अनुमति देने के बजाय, मैलवेयर इसके आउटपुट में हेरफेर करता है ताकि हानिकारक गतिविधि सुरक्षित दिखाई दे।
यह मैलवेयर एक आंतरिक कॉन्फ़िगरेशन सूची पर भी निर्भर करता है जो इसके व्यवहार को नियंत्रित करती है। ये सेटिंग्स निर्धारित करती हैं कि कौन सा डेटा एकत्र किया जाता है, उसे कहाँ संग्रहीत किया जाता है, इसकी निरंतरता कैसे बनी रहती है, और क्या कुछ शर्तों के तहत निष्पादन जारी रहता है। यह कॉन्फ़िगरेशन सुनिश्चित करता है कि सिस्टम रीबूट होने के बाद भी मैलवेयर सक्रिय रहे।
इसके अतिरिक्त, SnappyClient हमलावर द्वारा नियंत्रित सर्वरों से दो एन्क्रिप्टेड फ़ाइलें प्राप्त करता है। ये फ़ाइलें एक गुप्त प्रारूप में संग्रहीत होती हैं और इनका उपयोग संक्रमित सिस्टम पर मैलवेयर की कार्यप्रणाली को गतिशील रूप से नियंत्रित करने के लिए किया जाता है।
व्यापक प्रणाली नियंत्रण क्षमताएँ
SnappyClient हमलावरों को प्रभावित उपकरणों पर पूर्ण नियंत्रण प्रदान करता है। यह स्क्रीनशॉट कैप्चर कर सकता है और उन्हें दूरस्थ ऑपरेटरों को भेज सकता है, जिससे उपयोगकर्ता गतिविधि की सीधी जानकारी मिलती है। यह मैलवेयर पूर्ण प्रक्रिया प्रबंधन को भी सक्षम बनाता है, जिससे हमलावर चल रही प्रक्रियाओं की निगरानी, निलंबन, पुनः आरंभ या समाप्ति कर सकते हैं। इसके अलावा, यह वैध प्रक्रियाओं में कोड इंजेक्शन का समर्थन करता है, जिससे यह सिस्टम के भीतर गुप्त रूप से कार्य कर सकता है।
फाइल सिस्टम में हेरफेर करना इसकी एक और प्रमुख क्षमता है। यह मैलवेयर डायरेक्टरी ब्राउज़ कर सकता है, फाइलें और फोल्डर बना या हटा सकता है, और कॉपी करना, मूव करना, नाम बदलना, कंप्रेस करना या आर्काइव निकालना जैसे ऑपरेशन कर सकता है, यहां तक कि पासवर्ड से सुरक्षित फाइलों को भी। यह फाइलों को एक्जीक्यूट भी कर सकता है और शॉर्टकट का विश्लेषण कर सकता है।
डेटा चोरी और निगरानी कार्य
SnappyClient का एक प्रमुख उद्देश्य डेटा की चोरी करना है। इसमें एक अंतर्निर्मित कीलॉगर शामिल है जो कीबोर्ड पर दर्ज की गई कुंजियों को रिकॉर्ड करता है और कैप्चर किए गए डेटा को हमलावरों को भेजता है। इसके अलावा, यह ब्राउज़र और अन्य एप्लिकेशन से लॉगिन क्रेडेंशियल, कुकीज़, ब्राउज़िंग इतिहास, बुकमार्क, सत्र डेटा और एक्सटेंशन से संबंधित जानकारी सहित कई प्रकार की संवेदनशील जानकारी निकालता है।
यह मैलवेयर हमलावर द्वारा परिभाषित फ़िल्टरों, जैसे कि फ़ाइल नाम या पथ, के आधार पर विशिष्ट फ़ाइलों या निर्देशिकाओं को खोजकर चुरा सकता है। फ़ाइलों को चुराने के अलावा, यह दूरस्थ सर्वरों से फ़ाइलें डाउनलोड करके उन्हें संक्रमित मशीन पर स्थानीय रूप से संग्रहीत करने में भी सक्षम है।
उन्नत निष्पादन और शोषण सुविधाएँ
SnappyClient दुर्भावनापूर्ण पेलोड को निष्पादित करने के लिए कई तरीकों का समर्थन करता है। यह मानक निष्पादन योग्य फ़ाइलों को चला सकता है, डायनेमिक-लिंक लाइब्रेरी (DLL) लोड कर सकता है, या संग्रहीत फ़ाइलों से सामग्री निकाल कर निष्पादित कर सकता है। यह हमलावरों को वर्किंग डायरेक्टरी और कमांड-लाइन आर्गुमेंट जैसे निष्पादन पैरामीटर परिभाषित करने की अनुमति भी देता है। कुछ मामलों में, यह उच्च विशेषाधिकार प्राप्त करने के लिए उपयोगकर्ता खाता नियंत्रण (UAC) को बायपास करने का प्रयास करता है।
अन्य उल्लेखनीय विशेषताओं में छिपे हुए ब्राउज़र सेशन शुरू करने की क्षमता शामिल है, जिससे हमलावर उपयोगकर्ता की जानकारी के बिना वेब गतिविधि की निगरानी और उसमें हेरफेर कर सकते हैं। यह सिस्टम कमांड को दूरस्थ रूप से निष्पादित करने के लिए कमांड-लाइन इंटरफ़ेस भी प्रदान करता है। क्लिपबोर्ड में हेरफेर करना एक और खतरनाक फ़ंक्शन है, जिसका उपयोग अक्सर क्रिप्टोकरेंसी वॉलेट पतों को हमलावरों द्वारा नियंत्रित पतों से बदलने के लिए किया जाता है।
लक्षित अनुप्रयोग और डेटा स्रोत
SnappyClient को वेब ब्राउज़र और क्रिप्टोकरेंसी टूल सहित विभिन्न प्रकार के अनुप्रयोगों से जानकारी निकालने के लिए डिज़ाइन किया गया है।
लक्षित वेब ब्राउज़र में निम्नलिखित शामिल हैं:
360 ब्राउज़र, ब्रेव, क्रोम, कॉकॉक, एज, फ़ायरफ़ॉक्स, ओपेरा, स्लिमजेट, विवाल्डी और वॉटरफॉक्स
लक्षित क्रिप्टोकरेंसी वॉलेट और टूल में निम्नलिखित शामिल हैं:
कॉइनबेस, मेटामास्क, फैंटम, ट्रॉनलिंक, ट्रस्टवॉलेट
एटॉमिक, बिटकॉइनकोर, कॉइनोमी, इलेक्ट्रम, एक्सोडस, लेजरलाइव, ट्रेज़रसुइट और वासाबी
इस तरह से व्यापक रूप से लक्षित किए जाने से वित्तीय चोरी और साख के उल्लंघन की संभावना काफी बढ़ जाती है।
भ्रामक वितरण विधियाँ
SnappyClient मुख्य रूप से धोखे से फैलाने वाली तकनीकों के माध्यम से फैलता है, जिनका उद्देश्य उपयोगकर्ताओं को दुर्भावनापूर्ण फ़ाइलों को निष्पादित करने के लिए प्रेरित करना है। एक सामान्य विधि में वैध दूरसंचार कंपनियों का रूप धारण करने वाली नकली वेबसाइटें शामिल हैं। जब इन साइटों पर जाया जाता है, तो ये चुपचाप पीड़ित के डिवाइस पर HijackLoader डाउनलोड कर देती हैं। यदि इसे निष्पादित किया जाता है, तो लोडर SnappyClient को सक्रिय कर देता है।
एक अन्य रणनीति X (जिसे Twitter के नाम से भी जाना जाता है) जैसे सोशल मीडिया प्लेटफॉर्म का उपयोग करती है। हमलावर ऐसे लिंक या निर्देश पोस्ट करते हैं जो उपयोगकर्ताओं को डाउनलोड शुरू करने के लिए लुभाते हैं, कभी-कभी ClickFix जैसी तकनीकों का उपयोग करते हैं। ये कार्रवाइयां अंततः HijackLoader के निष्पादन और मैलवेयर की स्थापना की ओर ले जाती हैं।
संक्रमण के जोखिम और प्रभाव
SnappyClient अपनी गुप्त प्रकृति, बहुमुखी प्रतिभा और व्यापक क्षमताओं के कारण साइबर सुरक्षा के लिए एक गंभीर खतरा है। एक बार तैनात होने के बाद, यह हमलावरों को उपयोगकर्ता गतिविधि की निगरानी करने, संवेदनशील जानकारी चुराने, सिस्टम संचालन में हेरफेर करने और अतिरिक्त दुर्भावनापूर्ण पेलोड निष्पादित करने में सक्षम बनाता है।
इस तरह के संक्रमणों के परिणाम गंभीर हो सकते हैं, जिनमें खाता हैकिंग, पहचान की चोरी, वित्तीय नुकसान, आगे मैलवेयर संक्रमण और दीर्घकालिक सिस्टम समझौता शामिल हैं।
