Verblecon Malware
Verblecon नाम के एक नए शक्तिशाली मैलवेयर के बारे में विवरण प्रकाश में लाया गया है। जनवरी 2022 में शोधकर्ताओं द्वारा पहली बार धमकी देने वाले तनाव का पता लगाया गया था। उनके निष्कर्षों के अनुसार, वर्तमान में अपने हमले के संचालन के हिस्से के रूप में वर्बलकॉन मैलवेयर का उपयोग करने वाले खतरे वाले अभिनेता, खतरे की क्षमताओं के केवल एक छोटे हिस्से का उपयोग करते हैं। वास्तव में, टूटे हुए उपकरणों पर कई आक्रामक कार्रवाई करने की क्षमता होने के बावजूद, वर्बलकॉन को अब तक क्रिप्टो-माइनिंग पेलोड वितरित करने वाले लोडर की भूमिका के लिए आरोपित किया गया था।
तकनीकी जानकारी
Verblecon मैलवेयर जावा-आधारित है और इसमें बहुरूपी प्रकृति है। इसका मतलब यह है कि हर बार डाउनलोड होने पर खतरे के पेलोड का कोड अलग दिखता है। इस तरह की परिष्कृत तकनीकों को आमतौर पर साइबर जासूसी में शामिल खतरे वाले अभिनेताओं द्वारा नियोजित किया जाता है। इसके अलावा, कोड प्रवाह, तार और खतरे के प्रतीक सभी पूरी तरह से अस्पष्ट हैं, जिससे वर्बेलकॉन बेहद गुप्त हो गया है।
यह खतरा वर्चुअलाइजेशन और सैंडबॉक्स परिवेशों के लिए कई जांच भी करता है। यह वर्तमान में चल रही प्रक्रियाओं की एक सूची प्राप्त करता है और वर्चुअल मशीन सिस्टम से जुड़े होने के लिए ज्ञात फाइलों के पूर्व निर्धारित चयन के साथ मेल खाता है। यदि सभी जांचों को पारित कर दिया जाता है, तो स्थानीय निर्देशिका जैसे %ProgramData% , %LOCALAPPDATA% , और Users में खुद को कॉपी करके इसके निष्पादन के साथ खतरा जारी रहेगा।
Verblecon एक नया पेलोड प्राप्त करने और तैनात करने के लिए समय-समय पर एक कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संपर्क स्थापित करने का प्रयास करेगा। समान तकनीकों का उपयोग करके पेलोड को अस्पष्ट किया जाता है और वर्चुअलाइजेशन के संकेतों के लिए पर्यावरण की जांच भी करता है। शोधकर्ताओं के अनुसार, पेलोड का मुख्य कार्य एक बाइनरी फ़ाइल को डाउनलोड करना और निष्पादित करना है, जिसे बाद में %Windows%\SysWow64\dllhost.exe में इंजेक्ट किया जाएगा।
जैसा कि हमने कहा, Verblecon से जुड़े मौजूदा ऑपरेशन खतरे की पूरी क्षमताओं का फायदा नहीं उठाते हैं और ज्यादातर क्रिप्टो-माइनिंग खतरों को वितरित करने तक सीमित हैं। ऐसे संकेत भी हैं कि हमलावर पीड़ितों के डिस्कॉर्ड टोकन प्राप्त करने में रुचि रखते हैं।
