TamperedChef Stealer
धम्की दिने व्यक्तिहरूले TamperedChef भनेर चिनिने विश्वव्यापी मालभर्टाइजिङ अभियानमा व्यापक रूपमा प्रयोग हुने अनुप्रयोगहरूको रूपमा भेषमा नक्कली स्थापनाकर्ताहरूको शोषण गरिरहेका छन्। यी नक्कली कार्यक्रमहरू डाउनलोड गर्ने प्रयोगकर्ताहरूले अनजानमा आफ्नो प्रणालीमा स्थिरता स्थापित गर्न डिजाइन गरिएको मालवेयर स्थापना गर्छन् र रिमोट पहुँच र नियन्त्रणको लागि जाभास्क्रिप्ट ब्याकडोर तैनाथ गर्छन्। रिपोर्टिङको समयमा, अभियान सक्रिय रह्यो, नयाँ मालिसियस कलाकृतिहरू पत्ता लागेका थिए र सम्बन्धित पूर्वाधार अझै पनि सञ्चालनमा थिए।
सामग्रीको तालिका
सामाजिक इन्जिनियरिङ र विश्वासको शोषण
TamperedChef का सञ्चालकहरूले प्रयोगकर्ताको विश्वास बढाउन र पत्ता लगाउनबाट बच्न सामाजिक इन्जिनियरिङ प्रविधिहरूको प्रयोग गर्छन्। तिनीहरूका विधिहरूमा समावेश छन्:
- डाउनलोडहरूलाई लोभ्याउन परिचित अनुप्रयोग नामहरू प्रयोग गर्दै
- अनलाइन विज्ञापनहरू मार्फत प्रयोगकर्ताहरूसम्म पुग्न मालवर्टाइजिङ अभियानहरू प्रयोग गर्ने
- खोज परिणामहरूमा देखा पर्न खोज इन्जिन अप्टिमाइजेसन (SEO) रणनीतिहरू प्रयोग गर्दै
- दुरुपयोग गरिएको डिजिटल प्रमाणपत्रहरू प्रयोग गरेर मालवेयरमा हस्ताक्षर गर्ने, जसले वैधताको हावा दिन्छ
प्रमाणपत्रहरू प्रायः अमेरिका, पानामा र मलेसियामा दर्ता भएका शेल कम्पनीहरूलाई जारी गरिन्छ। पुराना प्रमाणपत्रहरू रद्द गरिँदै जाँदा, आक्रमणकारीहरूले वैधताको उपस्थिति कायम राख्दै, विभिन्न कम्पनीको नाममा नयाँहरू निरन्तर प्राप्त गर्छन्। इन्फोसेक विज्ञहरूले यो पूर्वाधारलाई अत्यधिक व्यवस्थित रूपमा वर्णन गरेका छन्, जसले विश्वसनीय देखिने स्थापनाकर्ताहरूको स्थिर उत्पादनलाई सक्षम बनाउँछ।
मालवेयर परिवार र अभियान सन्दर्भ
TamperedChef EvilAI कोडनेम गरिएको ठूलो अभियानको हिस्सा हो, जसले मालवेयर वितरणको लागि कृत्रिम बुद्धिमत्ता (AI) उपकरणहरू र सफ्टवेयरसँग जोडिएका लुर्सहरू प्रयोग गर्दछ। TamperedChef आफैं मालवेयर परिवारको लागि व्यापक रूपमा अपनाइएको नाम बनेको छ, तर केही रिपोर्टहरूमा यसलाई BaoLoader को रूपमा पनि ट्र्याक गरिएको छ। TamperedChef नामले साइबर सुरक्षा प्रकाशनहरू र विक्रेता पत्ता लगाउनेहरूमा स्थिरता कायम राख्न मद्दत गर्दछ, यद्यपि यो दुर्भावनापूर्ण रेसिपी अनुप्रयोगमा एम्बेड गरिएको मूल TamperedChef मालवेयर भन्दा फरक छ।
आक्रमण कसरी फैलिन्छ
एउटा सामान्य आक्रमण परिदृश्यमा समावेश छ:
- खोज इन्जिनहरूमा PDF सम्पादकहरू वा उत्पादन पुस्तिकाहरू खोज्ने प्रयोगकर्ताहरूलाई विषाक्त URL वा दुर्भावनापूर्ण विज्ञापनहरू देखाइन्छ।
- यी लिङ्कहरूमा क्लिक गर्नाले प्रयोगकर्ताहरूलाई बुबी-ट्र्याप्ड डोमेनहरूमा रिडिरेक्ट गरिन्छ, जुन प्रायः NameCheap मार्फत दर्ता गरिन्छ, जसले गर्दा उनीहरूलाई नक्कली इन्स्टलर डाउनलोड गर्न प्रेरित गरिन्छ।
- इन्स्टलरले प्रयोगकर्ताहरूलाई मानक इजाजतपत्र सर्तहरूमा सहमत हुन आग्रह गर्छ, त्यसपछि चाललाई कायम राख्न नयाँ ब्राउजर ट्याबमा धन्यवाद पृष्ठ खोल्छ।
- पृष्ठभूमिमा, एउटा XML फाइल छोडिन्छ, जसले एउटा निर्धारित कार्य सिर्जना गर्छ जसले अस्पष्ट जाभास्क्रिप्ट ब्याकडोर सुरु गर्छ।
- ब्याकडोरले बाह्य सर्भरहरूसँग सञ्चार गर्दछ, प्रणाली मेटाडेटा प्रसारण गर्दछ, जस्तै सत्र ID र मेसिन ID, HTTPS मार्फत एन्क्रिप्टेड Base64 JSON मा एन्कोड गरिएको।
अभियानको अन्तिम लक्ष्यहरू अझै अस्पष्ट छन्। केही मालवेयर भेरियन्टहरूले विज्ञापन ठगीलाई सहज बनाउँछन्, जबकि अरूलाई साइबर अपराधीहरूलाई बेचेको पहुँच मार्फत वा भूमिगत फोरमहरूको लागि संवेदनशील डेटा सङ्कलन गरेर मुद्रीकरण गर्न सकिन्छ।
भौगोलिक र क्षेत्रीय प्रभाव
टेलिमेट्रीले अमेरिकी प्रयोगकर्ताहरू सबैभन्दा बढी प्रभावित भएको देखाउँछ, इजरायल, स्पेन, जर्मनी, भारत र आयरल्याण्डमा थप संक्रमणहरू रिपोर्ट गरिएका छन्। सबैभन्दा बढी प्रभावित क्षेत्रहरूमा स्वास्थ्य सेवा, निर्माण र निर्माण समावेश छन्, सम्भवतः विशेष उपकरणहरूमा बारम्बार निर्भरता र उत्पादन पुस्तिकाहरूको लागि अनलाइन खोजीहरूको कारणले गर्दा, जुन आक्रमणकारीहरूले शोषण गर्छन्।
