विकिलोडर मैलवेयर
एक नया फ़िशिंग अभियान विकिलोडर नामक मैलवेयर के नए खोजे गए प्रकार का उपयोग करके इटली में संगठनों को लक्षित कर रहा है। इस परिष्कृत डाउनलोडर का प्राथमिक उद्देश्य समझौता किए गए उपकरणों पर मैलवेयर का दूसरा पेलोड स्थापित करना है। पता लगाने से बचने के लिए, विकीलोडर कई चोरी तंत्रों को नियोजित करता है, जो दर्शाता है कि इसे विशिष्ट साइबर आपराधिक खतरे वाले अभिनेताओं के लिए उपलब्ध मैलवेयर-फॉर-हायर के रूप में डिज़ाइन किया गया हो सकता है। 'विकीलोडर' नाम मैलवेयर के विकिपीडिया से अनुरोध करने और यह सत्यापित करने के व्यवहार से लिया गया है कि प्रतिक्रिया में 'द फ्री' स्ट्रिंग है या नहीं।
जंगल में इस मैलवेयर को पहली बार 27 दिसंबर, 2022 को TA544 नामक एक खतरनाक अभिनेता द्वारा संचालित घुसपैठ सेट के संबंध में देखा गया था, जिसे बांस स्पाइडर और ज़ीउस पांडा के रूप में भी पहचाना जाता है। विशेष रूप से, विकिलोडर संक्रमण में अंतिम पेलोड उर्स्निफ़ (गोज़ी) प्रतीत होता है। यह बैंकिंग ट्रोजन, स्टीलर और स्पाइवेयर क्षमताओं से लैस एक कुख्यात मैलवेयर खतरा है।
साइबर अपराधी विकिलोडर को वितरित करने के लिए फ़िशिंग लालच का उपयोग करते हैं
विकिलोडर से जुड़े फ़िशिंग अभियान Microsoft Excel, Microsoft OneNote या PDF फ़ाइलों जैसे विभिन्न अनुलग्नकों वाले ईमेल के उपयोग के इर्द-गिर्द घूमते हैं। ये अटैचमेंट डाउनलोडर पेलोड को तैनात करने के लिए लालच के रूप में कार्य करते हैं, जो बदले में, उर्सनिफ़ मैलवेयर की स्थापना की सुविधा प्रदान करता है।
एक दिलचस्प अवलोकन यह है कि विकीलोडर, प्रारंभिक संक्रमण के लिए जिम्मेदार मैलवेयर, कई साइबर अपराध समूहों के बीच साझा किया गया प्रतीत होता है। ऐसा ही एक समूह, जिसे TA551 या शताक के नाम से जाना जाता है, को हाल ही में मार्च 2023 के अंत में अपनी गतिविधियों में विकीलोडर का उपयोग करते हुए देखा गया है।
जुलाई 2023 के मध्य में, खतरा अभिनेता TA544 द्वारा चलाए गए आगे के अभियानों में लेखांकन-थीम वाले पीडीएफ अनुलग्नकों को नियोजित किया गया। इन अनुलग्नकों में यूआरएल शामिल थे, जिन पर क्लिक करने पर, एक ज़िप संग्रह फ़ाइल की डिलीवरी होती थी। इस संग्रह के भीतर, एक जावास्क्रिप्ट फ़ाइल विकीलोडर मैलवेयर को डाउनलोड करने और निष्पादित करने, हमले की श्रृंखला शुरू करने के लिए जिम्मेदार है।
विकिलोडर अत्याधुनिक चोरी की तकनीकें अपनाता है
विकीलोडर मजबूत अस्पष्टीकरण तकनीकों का उपयोग करता है और एंडपॉइंट सुरक्षा सॉफ़्टवेयर को बायपास करने के लिए टालमटोल की रणनीति अपनाता है, जिससे यह सुनिश्चित होता है कि यह स्वचालित विश्लेषण वातावरण के दौरान पता लगाने से बचता है। इसके अलावा, इसे उद्देश्यपूर्ण ढंग से डिस्कॉर्ड पर होस्ट किए गए शेलकोड पेलोड को पुनः प्राप्त करने और निष्पादित करने के लिए डिज़ाइन किया गया है, जो अंततः उर्स्निफ़ मैलवेयर के लिए लॉन्चपैड के रूप में कार्य करता है।
जैसा कि विशेषज्ञों ने संकेत दिया है, विकीलोडर को सक्रिय रूप से विकसित किया जा रहा है, और इसके निर्माता अपने गुप्त संचालन को अज्ञात और रडार के नीचे बनाए रखने के लिए नियमित रूप से परिवर्तन लागू करते हैं।
इसकी अत्यधिक संभावना है कि अधिक आपराधिक धमकी देने वाले अभिनेता विकीलोडर को अपनाएंगे, विशेष रूप से प्रारंभिक एक्सेस ब्रोकर (आईएबी) के रूप में पहचाने जाने वाले, जो ऐसी गतिविधियों में शामिल होने के लिए जाने जाते हैं जो अक्सर रैंसमवेयर हमलों का कारण बनते हैं। रक्षकों और साइबर सुरक्षा टीमों को सतर्क रहना चाहिए और इस नए मैलवेयर और पेलोड डिलीवरी में शामिल जटिलताओं के बारे में सूचित करना चाहिए। संभावित शोषण के विरुद्ध अपने संगठनों की सुरक्षा के लिए सक्रिय उपाय करना इसके प्रभाव को कम करने के लिए आवश्यक है।
