ट्रोजन-प्रॉक्सी मैलवेयर

पायरेटेड सॉफ़्टवेयर के लिए प्लेटफ़ॉर्म के रूप में काम करने वाली दुष्ट वेबसाइटों को ट्रोजनयुक्त ऐप्स के प्राथमिक स्रोत के रूप में पहचाना गया है जो macOS उपयोगकर्ताओं को एक नए ट्रोजन-प्रॉक्सी मैलवेयर से संक्रमित करते हैं। यह मैलवेयर हमलावरों को प्रॉक्सी सर्वर का नेटवर्क स्थापित करके या पीड़ित की ओर से अवैध गतिविधियों में संलग्न होकर राजस्व उत्पन्न करने में सक्षम बनाता है। ऐसी गतिविधियों में वेबसाइटों, कंपनियों और व्यक्तियों पर हमले शुरू करने के साथ-साथ आग्नेयास्त्र, ड्रग्स और अन्य अवैध वस्तुओं की खरीद शामिल हो सकती है।

साइबर सुरक्षा के विशेषज्ञों ने ऐसे साक्ष्य उजागर किए हैं जो बताते हैं कि यह मैलवेयर एक क्रॉस-प्लेटफॉर्म खतरा पैदा करता है। इसकी पुष्टि विंडोज़ और एंड्रॉइड दोनों प्रणालियों के लिए खोजी गई कलाकृतियों से होती है, जो पायरेटेड टूल से जुड़े थे।

ट्रोजन-प्रॉक्सी मैलवेयर macOS उपकरणों को संक्रमित करने में सक्षम है

अभियान के macOS वेरिएंट वैध मल्टीमीडिया, छवि संपादन, डेटा रिकवरी और उत्पादकता टूल के रूप में फैल गए। यह इंगित करता है कि पायरेटेड सॉफ़्टवेयर चाहने वाले व्यक्ति हमले का केंद्र बिंदु बन जाते हैं। उनके प्रामाणिक समकक्षों के विपरीत, जिन्हें डिस्क छवि (.DMG) फ़ाइलों के रूप में वितरित किया जाता है, नकली संस्करणों को .PKG इंस्टॉलर के रूप में आपूर्ति की जाती है। इन इंस्टॉलरों में एक पोस्ट-इंस्टॉल स्क्रिप्ट शामिल होती है जो इंस्टॉलेशन प्रक्रिया के बाद दुर्भावनापूर्ण गतिविधियों को ट्रिगर करती है। चूँकि इंस्टॉलर आम तौर पर प्रशासकीय अनुमतियों का अनुरोध करते हैं, निष्पादित स्क्रिप्ट इन अनुमतियों को प्राप्त करती है।

अभियान का अंतिम उद्देश्य ट्रोजन-प्रॉक्सी को उजागर करना है, जो पहचान से बचने के लिए स्वयं को macOS पर विंडोसर्वर प्रक्रिया के रूप में प्रच्छन्न करता है। विंडोसर्वर एक मौलिक सिस्टम प्रक्रिया के रूप में कार्य करता है जो विंडोज़ के प्रबंधन और अनुप्रयोगों के ग्राफिकल यूजर इंटरफेस (जीयूआई) को प्रस्तुत करने के लिए जिम्मेदार है।

ट्रोजन-प्रॉक्सी हमलावरों के निर्देशों का चुपचाप इंतजार करता है

समझौता किए गए डिवाइस पर निष्पादन होने पर, मैलवेयर DNS-ओवर-HTTPS (DoH) के माध्यम से कनेक्शन के लिए कमांड-एंड-कंट्रोल (C2) सर्वर का आईपी पता प्राप्त करने का प्रयास करता है। यह HTTPS प्रोटोकॉल का उपयोग करके DNS अनुरोधों और प्रतिक्रियाओं को एन्क्रिप्ट करके प्राप्त किया जाता है।

इसके बाद, ट्रोजन-प्रॉक्सी C2 सर्वर के साथ संचार स्थापित करता है, आगे के निर्देशों की प्रतीक्षा करता है। यह आने वाले संदेशों को संसाधित करने के लिए जानकारी निकालता है जैसे कि कनेक्ट करने के लिए आईपी पता, नियोजित करने के लिए प्रोटोकॉल और संचारित करने के लिए संदेश। यह टीसीपी या यूडीपी के माध्यम से प्रॉक्सी के रूप में कार्य करने, संक्रमित होस्ट के माध्यम से ट्रैफ़िक को पुनर्निर्देशित करने की इसकी क्षमता को दर्शाता है।

शोधकर्ताओं द्वारा दी गई जानकारी के अनुसार, ट्रोजन-प्रॉक्सी मैलवेयर का पता 28 अप्रैल, 2023 तक लगाया जा सकता है। ऐसे खतरों का मुकाबला करने के लिए, उपयोगकर्ताओं को दृढ़ता से सलाह दी जाती है कि वे अविश्वसनीय स्रोतों से सॉफ़्टवेयर डाउनलोड न करने का प्रयास करें।

ट्रोजन खतरों को व्यापक श्रेणी की असुरक्षित कार्रवाइयों को अंजाम देने के लिए प्रोग्राम किया जा सकता है

ट्रोजन मैलवेयर अपनी भ्रामक और बहुआयामी प्रकृति के कारण उपयोगकर्ताओं के लिए विविध प्रकार के जोखिम पैदा करता है। उपयोगकर्ताओं को दृढ़ता से सलाह दी जाती है कि वे अपने उपकरणों पर एक व्यापक सुरक्षा दृष्टिकोण लागू करें अन्यथा ट्रोजन संक्रमण के मामले में महत्वपूर्ण परिणाम भुगतने का जोखिम उठाएं:

• गुप्त पेलोड : ट्रोजन स्वयं को वैध सॉफ़्टवेयर या फ़ाइलों के रूप में छिपाते हैं, उपयोगकर्ताओं को अनजाने में दुर्भावनापूर्ण कोड इंस्टॉल करने के लिए प्रेरित करते हैं। छुपाए गए पेलोड में रैंसमवेयर, स्पाइवेयर, कीलॉगर्स या अन्य प्रकार के विनाशकारी सॉफ़्टवेयर शामिल हो सकते हैं।
• डेटा चोरी : ट्रोजन का लक्ष्य अक्सर विशेष जानकारी एकत्र करना होता है, जिसमें लॉगिन क्रेडेंशियल, वित्तीय डेटा या व्यक्तिगत विवरण शामिल होते हैं। इस एकत्रित जानकारी का उपयोग विभिन्न असुरक्षित उद्देश्यों के लिए किया जा सकता है, जिसमें पहचान की चोरी, वित्तीय धोखाधड़ी, या संवेदनशील खातों तक अनधिकृत पहुंच शामिल है।
• रिमोट एक्सेस : कुछ ट्रोजन किसी हमलावर को अनधिकृत रिमोट एक्सेस देने के लिए डिज़ाइन किए गए हैं। एक बार ट्रोजन तैनात हो जाने के बाद, हमलावर संक्रमित सिस्टम पर नियंत्रण हासिल कर लेता है, जिससे उन्हें फ़ाइलों में हेरफेर करने, अतिरिक्त मैलवेयर इंस्टॉल करने या यहां तक कि बड़े पैमाने पर हमलों में समझौता किए गए डिवाइस का उपयोग करने की अनुमति मिलती है।
• बोटनेट निर्माण : ट्रोजन बॉटनेट के निर्माण में योगदान दे सकते हैं। बॉटनेट एक इकाई द्वारा नियंत्रित छेड़छाड़ किए गए कंप्यूटरों के नेटवर्क हैं। इन बॉटनेट को विभिन्न असुरक्षित गतिविधियों के लिए नियोजित किया जा सकता है, जैसे कि डिस्ट्रीब्यूटेड डेनियल-ऑफ-सर्विस (डीडीओएस) हमले शुरू करना, स्पैम फैलाना, या अन्य समन्वित साइबर खतरों में भाग लेना।
• सिस्टम क्षति : ट्रोजन को फ़ाइलों को हटाकर, सेटिंग्स को संशोधित करके, या सिस्टम को निष्क्रिय करके उपयोगकर्ता के सिस्टम को सीधे नुकसान पहुंचाने के लिए प्रोग्राम किया जा सकता है। इसके परिणामस्वरूप महत्वपूर्ण डेटा हानि हो सकती है और सामान्य कंप्यूटिंग गतिविधियाँ बाधित हो सकती हैं।
• प्रॉक्सी सेवाएँ : कुछ ट्रोजन प्रॉक्सी सर्वर के रूप में कार्य करते हैं, जो हमलावरों को संक्रमित सिस्टम के माध्यम से अपने इंटरनेट ट्रैफ़िक को रूट करने में सक्षम बनाते हैं। इसका उपयोग हमलों के वास्तविक स्रोत को छिपाते हुए दुर्भावनापूर्ण गतिविधियों को संचालित करने के लिए किया जा सकता है, जिससे अधिकारियों के लिए मूल का पता लगाना चुनौतीपूर्ण हो जाता है।
• अन्य मैलवेयर का प्रसार : ट्रोजन अक्सर अन्य प्रकार के मैलवेयर पहुंचाने के लिए वाहन के रूप में काम करते हैं। एक बार सिस्टम के अंदर, वे अतिरिक्त दुर्भावनापूर्ण सॉफ़्टवेयर डाउनलोड और इंस्टॉल कर सकते हैं, जिससे उपयोगकर्ता के सामने आने वाले खतरे बढ़ जाते हैं।

ट्रोजन मैलवेयर से जुड़े जोखिमों को कम करने के लिए, उपयोगकर्ताओं को मजबूत साइबर सुरक्षा प्रथाओं को अपनाने की सलाह दी जाती है, जिसमें प्रतिष्ठित एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग, नियमित सिस्टम अपडेट और विशेष रूप से अविश्वसनीय स्रोतों से फ़ाइलें डाउनलोड करते समय या लिंक पर क्लिक करते समय सावधानी बरतना शामिल है।