वार्मकूकी बैकडोर

एक बैकडोर मैलवेयर, जैसे कि वार्मकूक, एक खतरनाक सॉफ़्टवेयर है जिसे कंप्यूटर की कमज़ोरियों का फ़ायदा उठाने के लिए बनाया गया है, जिससे अनधिकृत पहुँच और नियंत्रण की अनुमति मिलती है। इन प्रोग्रामों का उद्देश्य एक छिपा हुआ प्रवेश बिंदु स्थापित करना है, जिससे हमलावरों को अतिरिक्त मैलवेयर की स्थापना सहित विभिन्न हानिकारक गतिविधियाँ करने में सक्षम बनाया जा सके। वास्तव में, WAMCOOKIE का प्राथमिक उद्देश्य समझौता किए गए सिस्टम पर अगले चरण के मैलवेयर खतरों को डाउनलोड और इंस्टॉल करके आगे के संक्रमण को सुविधाजनक बनाना है।

इस मैलवेयर वैरिएंट, जिसे WARMCOOKIE के नाम से जाना जाता है, की पहचान 2024 के वसंत में ही हो गई थी, और संभवतः इससे भी पहले के संस्करण प्रचलन में थे। शोधकर्ताओं ने चेतावनी दी है कि WARMCOOKIE को लक्षित ईमेल स्पैम अभियानों के माध्यम से सक्रिय रूप से वितरित किया जाता है, जहाँ अनजान उपयोगकर्ताओं को दुर्भावनापूर्ण अनुलग्नक खोलने या धोखाधड़ी वाले लिंक पर क्लिक करने के लिए धोखा दिया जाता है।

साइबर अपराधी फ़िशिंग ईमेल के ज़रिए पीड़ितों को धोखा देते हैं

WARMCOOKIE को लक्षित स्पैम ईमेल अभियानों के माध्यम से वितरित किया गया था, जिसमें प्राप्तकर्ताओं को लुभाने के लिए नौकरी से संबंधित थीम का उपयोग किया गया था। ये ईमेल वैध भर्ती फर्मों की नकल करते थे, पीड़ितों को उनके वास्तविक नामों से संबोधित करते थे और उनकी वर्तमान रोजगार स्थिति जैसे विवरण प्रदान करते थे, जिससे वे प्रामाणिक लगते थे।

ईमेल में दिए गए लिंक पर क्लिक करने के लिए लोगों को लुभाया गया, उन्हें लगा कि यह उन्हें नौकरी के प्रस्ताव की समीक्षा करने के लिए आंतरिक सिस्टम तक ले जाएगा। हालांकि, यह लिंक उन्हें कई तरह की असुरक्षित वेबसाइटों पर ले गया, जो अक्सर प्रतिष्ठित डोमेन पर होस्ट की जाती थीं, और अंततः उन्हें धोखाधड़ी से संबंधित वेबसाइट पर ले जाती थीं।

लैंडिंग पेज पर, जो भर्ती प्रक्रिया का हिस्सा प्रतीत होता था, पीड़ितों को विश्वसनीयता बढ़ाने के लिए व्यक्तिगत जानकारी दी गई थी। उन्हें नौकरी की पेशकश का विवरण देने वाला एक दस्तावेज़ डाउनलोड करने के लिए कहा गया, आगे बढ़ने से पहले CAPTCHA परीक्षण की आवश्यकता थी।

कैप्चा पूरा होने के बाद, पीड़ितों ने अनजाने में एक अस्पष्ट जावास्क्रिप्ट फ़ाइल डाउनलोड कर ली। इस फ़ाइल ने एक पॉवरशेल स्क्रिप्ट निष्पादित की जिसे वार्मकुकी के साथ सिस्टम को संक्रमित करने, बैकडोर एक्सेस स्थापित करने और आगे की दुर्भावनापूर्ण गतिविधियों को शुरू करने के लिए डिज़ाइन किया गया था।

WARMCOOKIE बैकडोर पीड़ितों को अधिक मैलवेयर खतरों के प्रति उजागर कर सकता है

अपनी अपेक्षाकृत सीमित क्षमताओं के बावजूद, WARMCOOKIE, लक्षित नेटवर्क में प्रारंभिक प्रवेश बिंदु प्रदान करके बैकडोर मैलवेयर के रूप में एक महत्वपूर्ण भूमिका निभाता है। कई बैकडोर की तरह, WARMCOOKIE को एंटी-एनालिसिस सुविधाओं के साथ डिज़ाइन किया गया है ताकि पता लगाने से बचा जा सके, जैसे कि एंटी-डीबगिंग मैकेनिज्म और सैंडबॉक्स वातावरण का पता लगाने की क्षमता। इसके अलावा, यह हर दस मिनट में खुद को चलाने के लिए शेड्यूल करके दृढ़ता सुनिश्चित करता है, जिससे यह समझौता किए गए सिस्टम पर नियंत्रण बनाए रखने की अनुमति देता है।

एक बार सफलतापूर्वक घुसपैठ करने के बाद, WARMCOOKIE दो चरणों में अपना संचालन शुरू करता है। शुरू में, यह संक्रमित मशीन से वॉल्यूम सीरियल नंबर, DNS डोमेन, डिवाइस का नाम और उपयोगकर्ता नाम सहित आवश्यक जानकारी एकत्र करता है। यह डेटा फिर हमलावरों के कमांड-एंड-कंट्रोल (C&C) सर्वर पर भेजा जाता है, जो मैलवेयर में हार्डकोडेड होता है।

अपने दूसरे चरण में, WARMCOOKIE जानकारी एकत्र करना जारी रखता है, तथा CPU विवरण, पीड़ित का IP पता, तथा स्थापित सॉफ्टवेयर की विस्तृत सूची, जिसमें नाम, संस्करण, तथा स्थापना तिथियां शामिल हैं, निकालने पर ध्यान केंद्रित करता है।

WARMCOOKIE में संक्रमित सिस्टम पर विभिन्न कमांड निष्पादित करने की क्षमता है, जैसे कि फ़ाइलें पढ़ना, स्क्रीनशॉट कैप्चर करना और संक्रमित डिवाइस पर अतिरिक्त फ़ाइलें डाउनलोड करना। इसका प्राथमिक कार्य अतिरिक्त मैलवेयर डाउनलोड करना और इंस्टॉल करना है, जिससे आगे संक्रमण जारी रहता है।

जबकि बैकडोर सैद्धांतिक रूप से सिस्टम में किसी भी प्रकार के मैलवेयर को पेश करने की क्षमता रखते हैं, वे आम तौर पर कुछ सीमाओं के भीतर काम करते हैं। WARMCOOKIE के मामले में, यह ट्रोजन वायरस या इसी तरह के दुर्भावनापूर्ण सॉफ़्टवेयर की स्थापना की ओर ले जा सकता है, जिससे संक्रमण का दायरा बढ़ जाता है और प्रभावित सिस्टम के लिए अधिक खतरे पैदा हो जाते हैं।