इमोटेट बॉटनेट जीवन में वापस आता है
सबसे बड़े बॉटनेट में से एक को 2021 की शुरुआत में हुए एक अंतरराष्ट्रीय कानून प्रवर्तन अभियान में बाधित और बंद कर दिया गया था। अब, एक साल से अधिक समय के बाद, वही बॉटनेट एक बार फिर से जीवन के संकेत दिखा रहा है, और ऐसा लगता है कि यह कुछ बड़ा हो गया है नए सींग और रीढ़ उस समय में सुप्त अवस्था में थे। प्रश्न में बॉटनेट कुख्यात इमोटेट बॉट नेटवर्क है - विभिन्न दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग किए जाने वाले समझौता किए गए उपकरणों का एक वेब।
इमोटेट क्या है?
समझौता किए गए उपकरणों या "बॉट्स" को नियंत्रित करने वाले पक्ष द्वारा कई दुर्भावनापूर्ण कार्यों के लिए एक बॉटनेट का उपयोग किया जा सकता है। इमोटेट के मामले में, नेटवर्क का उपयोग मैलवेयर फैलाने के लिए किया गया था और बॉट्स को अन्य दुर्भावनापूर्ण पार्टियों को किराए पर दिया गया था, रैंसमवेयर-ए-ए-सर्विस मॉडल के समान, केवल समझौता किए गए डिवाइस इन्फ्रास्ट्रक्चर तक पहुंच बेच रहा था।
अब, सुरक्षा फर्म प्रूफपॉइंट के साथ एक शोध दल ने "कम-मात्रा वाली इमोटेट गतिविधि" की पहचान की है, जो इसे "काफी" के रूप में वर्णित करती है, जो कि इमोटेट बॉटनेट को संचालित करने के नियमित तरीके से अलग है।
इमोटेट अब ईमेल अभियानों का उपयोग करके वितरित किया जा रहा है। शोधकर्ताओं के अनुसार, दुर्भावनापूर्ण संदेशों से उत्पन्न होने वाले ईमेल पते से छेड़छाड़ की जाती है, क्योंकि इमोटेट स्पैम मॉड्यूल का उपयोग उन्हें प्राप्तकर्ताओं को बाहर निकालने के लिए नहीं किया गया था।
नया दुर्भावनापूर्ण ईमेल अभियान इमोटेट फैलाता है
ईमेल संरचना में सरल थे - एक-शब्द विषय स्ट्रिंग, जैसे "वेतन"। पीड़ित का ध्यान आकर्षित करने और ईमेल में जो कुछ भी है उस पर क्लिक करने के लिए उपयोगकर्ता को प्राप्त करने के लिए यह एक सरल लेकिन प्रभावी तरकीब है। इस मामले में, ईमेल में OneDrive का केवल एक लिंक होता है।
वनड्राइव लिंक एक ज़िप संग्रह में रखी गई एमएस एक्सेल एक्सएलएल फाइलों को इंगित करता है। संग्रह फ़ाइलें और उनमें निहित एक्सेल दस्तावेज़ सभी को मेल के विषय के समान नाम दिया गया है। प्रूफपॉइंट द्वारा प्रदान किए गए उदाहरण में, संग्रह को "Salary_new.zip" नाम दिया गया था और इसके अंदर की एक्सेल फ़ाइल - "Salary_and_bonuses-04.01.2022.xll"।
एक बार जब उपयोगकर्ता एक्सेल फ़ाइल को निकालता है और उसे खोलने का प्रयास करता है, तो इमोटेट को हटा दिया जाता है और तैनात कर दिया जाता है।
अभियान की कम-मात्रा प्रकृति को देखते हुए, पहले इमोटेट द्वारा उपयोग किए जाने वाले सामान्य उच्च-मात्रा वाले आक्रामक स्पैम दृष्टिकोण के विपरीत, शोधकर्ताओं का मानना है कि मैलवेयर ऑपरेटर नए तरीकों और तकनीकों का परीक्षण कर रहे हैं और स्वचालित पहचान से बचने के लिए नए तरीकों का परीक्षण कर रहे हैं।