ਬੰਡਲਬੋਟ ਮਾਲਵੇਅਰ
BundleBot ਨਾਮਕ ਇੱਕ ਖਤਰਨਾਕ ਮਾਲਵੇਅਰ ਰੂਪ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ, .NET ਸਿੰਗਲ-ਫਾਈਲ ਡਿਪਲਾਇਮੈਂਟ ਤਕਨੀਕਾਂ ਦਾ ਲਾਭ ਉਠਾ ਕੇ ਖੋਜ ਤੋਂ ਬਚ ਰਿਹਾ ਹੈ। ਇਹ ਵਿਧੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਮੇਜ਼ਬਾਨਾਂ ਤੋਂ ਚੋਰੀ-ਛਿਪੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਹਾਸਲ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ।
ਬੰਡਲਬੋਟ ਡਾਟਨੈੱਟ ਬੰਡਲ (ਸਿੰਗਲ-ਫਾਈਲ) ਸਵੈ-ਨਿਰਭਰ ਫਾਰਮੈਟ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਸੁਰੱਖਿਆ ਪ੍ਰਣਾਲੀਆਂ ਲਈ ਖੋਜਣਾ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਬਹੁਤ ਘੱਟ ਜਾਂ ਜ਼ੀਰੋ ਸਟੈਟਿਕ ਖੋਜ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸਾਂ 'ਤੇ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਮਾਲਵੇਅਰ ਦਾ ਪਤਾ ਨਹੀਂ ਲਗਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, ਬੰਡਲਬੋਟ ਦੀ ਵੰਡ ਆਮ ਤੌਰ 'ਤੇ ਫੇਸਬੁੱਕ ਵਿਗਿਆਪਨਾਂ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਖਾਤਿਆਂ ਦੁਆਰਾ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਗੈਰ-ਸ਼ੱਕੀ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਵੈਬਸਾਈਟਾਂ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ ਜੋ ਨਿਯਮਤ ਪ੍ਰੋਗਰਾਮ ਉਪਯੋਗਤਾਵਾਂ, AI ਟੂਲਜ਼ ਅਤੇ ਗੇਮਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਮੁਖੌਟਾ ਬਣਾਉਂਦੀਆਂ ਹਨ। ਇੱਕ ਵਾਰ ਉਪਭੋਗਤਾ ਇਹਨਾਂ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਵੈਬਸਾਈਟਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਦੇ ਹਨ, ਉਹ ਅਣਜਾਣੇ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦੇ ਡਾਉਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਟਰਿੱਗਰ ਕਰਦੇ ਹਨ, ਉਹਨਾਂ ਦੇ ਸਿਸਟਮ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਖਤਰੇ ਵਿੱਚ ਪਾਉਂਦੇ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਾਈਬਰ ਅਪਰਾਧੀ ਫਿਸ਼ਿੰਗ ਲਾਲਚ ਵਜੋਂ ਪ੍ਰਸਿੱਧ AI ਟੂਲਸ ਦਾ ਫਾਇਦਾ ਲੈਂਦੇ ਹਨ
ਬੰਡਲਬੋਟ ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਨਾਲ ਜੁੜੀਆਂ ਵੈਬਸਾਈਟਾਂ ਨੇ ਕੰਪਨੀ ਦੁਆਰਾ ਵਿਕਸਤ ਇੱਕ ਪ੍ਰਮੁੱਖ ਸੰਵਾਦ ਪੈਦਾ ਕਰਨ ਵਾਲੀ ਏਆਈ ਚੈਟਬੋਟ, ਗੂਗਲ ਬਾਰਡ ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਰਣਨੀਤੀ ਅਪਣਾਈ ਹੈ। ਇਹ ਧੋਖੇਬਾਜ਼ ਵੈੱਬਸਾਈਟਾਂ 'Google_AI.rar' ਨਾਮਕ RAR ਆਰਕਾਈਵ ਲਈ ਇੱਕ ਪ੍ਰਤੀਤ ਹੋਣ ਵਾਲੇ ਲੁਭਾਉਣ ਵਾਲੇ ਡਾਊਨਲੋਡ ਲਿੰਕ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਕੇ ਅਸੰਭਵ ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਂਦੀਆਂ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹ ਧੋਖਾਧੜੀ ਵਾਲੇ ਪੁਰਾਲੇਖ ਡ੍ਰੌਪਬਾਕਸ ਵਰਗੀਆਂ ਜਾਇਜ਼ ਕਲਾਉਡ ਸਟੋਰੇਜ ਸੇਵਾਵਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
ਏਆਈ ਟੂਲਸ ਦੀ ਵਧਦੀ ਪ੍ਰਸਿੱਧੀ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਲਾਲਚ ਵਜੋਂ ਗੂਗਲ ਬਾਰਡ ਦੀ ਵਰਤੋਂ ਕੋਈ ਨਵੀਂ ਗੱਲ ਨਹੀਂ ਹੈ। ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਹਾਲ ਹੀ ਦੇ ਮਹੀਨਿਆਂ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਲਈ ਇਸ ਰੁਝਾਨ ਦਾ ਫਾਇਦਾ ਉਠਾਇਆ ਹੈ, ਖਾਸ ਕਰਕੇ ਫੇਸਬੁੱਕ ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ। ਉਹ ਇਸ ਰਣਨੀਤੀ ਨੂੰ ਵੱਖ-ਵੱਖ ਕਿਸਮਾਂ ਦੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਨੂੰ ਚੋਰੀ-ਛਿਪੇ ਵੰਡਣ ਲਈ ਵਰਤਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਬਦਨਾਮ ਡੋਨੇਰੀਅਮ ।
ਇਹਨਾਂ ਅਸੁਰੱਖਿਅਤ ਲਿੰਕਾਂ ਦੀ ਵੰਡ ਅਕਸਰ Facebook ਇਸ਼ਤਿਹਾਰਾਂ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਦੁਆਰਾ ਹੁੰਦੀ ਹੈ। ਕੁਝ ਸਮੇਂ ਤੋਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਦੁਆਰਾ ਇਸ ਵਿਧੀ ਦਾ ਲਗਾਤਾਰ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਹੈ। ਕਿਸੇ ਪੀੜਤ ਦੇ Facebook ਖਾਤੇ ਦੀ ਜਾਣਕਾਰੀ ਨੂੰ ਲੁੱਟਣ ਦੀ ਮਾਲਵੇਅਰ ਦੀ ਯੋਗਤਾ ਦੇ ਨਾਲ ਇਸ ਵੰਡ ਰਣਨੀਤੀ ਨੂੰ ਜੋੜ ਕੇ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਇੱਕ ਸਵੈ-ਨਿਰਭਰ ਚੱਕਰ ਬਣਾਉਂਦੇ ਹਨ ਜੋ ਉਹਨਾਂ ਦੀਆਂ ਹਾਨੀਕਾਰਕ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ।
ਬੰਡਲਬੋਟ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਦੀ ਲਾਗ ਚੇਨ
'Google_AI.rar' ਆਰਕਾਈਵ ਨੂੰ ਅਨਪੈਕ ਕਰਨ 'ਤੇ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ 'GoogleAI.exe' ਨਾਮ ਦੀ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ ਮਿਲੇਗੀ, ਜੋ ਕਿ ਇੱਕ .NET ਸਿੰਗਲ-ਫਾਇਲ, ਸਵੈ-ਨਿਰਮਿਤ ਐਪਲੀਕੇਸ਼ਨ ਹੈ। ਬਦਲੇ ਵਿੱਚ, ਇਹ ਐਪਲੀਕੇਸ਼ਨ ਅੱਗੇ 'GoogleAI.dll' ਨਾਮ ਦੀ ਇੱਕ DLL ਫਾਈਲ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੀ ਹੈ, ਜੋ Google ਡਰਾਈਵ ਤੋਂ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ZIP ਆਰਕਾਈਵ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।
ਅਗਲੇ ਪੜਾਅ ਵਿੱਚ, 'ADSNEW-1.0.0.3.zip' ਨਾਮੀ ZIP ਫਾਈਲ ਤੋਂ ਕੱਢੀ ਗਈ ਸਮੱਗਰੀ ਇੱਕ ਹੋਰ .NET ਸਿੰਗਲ-ਫਾਇਲ, ਸਵੈ-ਨਿਰਭਰ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ 'RiotClientServices.exe' ਵਜੋਂ ਜਾਣਦੀ ਹੈ। ਇਹ ਐਪਲੀਕੇਸ਼ਨ BundleBot ਪੇਲੋਡ 'RiotClientServices.dll' ਦੇ ਨਾਲ-ਨਾਲ 'LirarySharing.dll' ਨਾਮਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਪੈਕੇਟ ਡਾਟਾ ਸੀਰੀਅਲਾਈਜ਼ਰ ਰੱਖਦਾ ਹੈ।
ਇੱਕ ਵਾਰ ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ 'ਤੇ, ਬੰਡਲਬੋਟ ਮਾਲਵੇਅਰ ਇੱਕ ਕਸਟਮ ਅਤੇ ਨਾਵਲ ਚੋਰੀ ਕਰਨ ਵਾਲੇ/ਬੋਟ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ 'LirarySharing.dll' ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਵਰਤੋਂ C2 ਸਰਵਰ ਨਾਲ ਬੋਟ ਦੇ ਸੰਚਾਰ ਦੌਰਾਨ ਪ੍ਰਸਾਰਿਤ ਪੈਕੇਟ ਡੇਟਾ ਨੂੰ ਪ੍ਰਕਿਰਿਆ ਅਤੇ ਸੀਰੀਅਲ ਕਰਨ ਲਈ ਕਰਦਾ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਚਣ ਲਈ, ਬਾਈਨਰੀ ਕਲਾਕ੍ਰਿਤੀਆਂ ਕਸਟਮ-ਬਣਾਈਆਂ ਰੁਕਾਵਟਾਂ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਜੰਕ ਕੋਡ ਦੀ ਮਹੱਤਵਪੂਰਨ ਮਾਤਰਾ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੀਆਂ ਹਨ।
ਬੰਡਲਬੋਟ ਮਾਲਵੇਅਰ ਵਿੱਚ ਧਮਕਾਉਣ ਵਾਲੀਆਂ ਦਖਲਅੰਦਾਜ਼ੀ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਹਨ
ਮਾਲਵੇਅਰ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਚਿੰਤਾਜਨਕ ਹਨ। ਇਹ ਚੋਰੀ-ਛਿਪੇ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਡਾਟਾ ਐਕਸਟਰੈਕਟ ਕਰ ਸਕਦਾ ਹੈ, ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰ ਸਕਦਾ ਹੈ, ਡਿਸਕਾਰਡ ਟੋਕਨ ਹਾਸਲ ਕਰ ਸਕਦਾ ਹੈ, ਟੈਲੀਗ੍ਰਾਮ ਤੋਂ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਫੇਸਬੁੱਕ ਖਾਤੇ ਦੇ ਵੇਰਵਿਆਂ ਦੀ ਕਟਾਈ ਕਰ ਸਕਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਇੱਕ ਵਧੀਆ ਡਾਟਾ-ਚੋਰੀ ਬੋਟ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਉਪਭੋਗਤਾ ਦੀ ਜਾਣਕਾਰੀ ਤੋਂ ਬਿਨਾਂ ਵੱਖ-ਵੱਖ ਸਰੋਤਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ।
ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ ਬੰਡਲਬੋਟ ਦਾ ਇੱਕ ਦੂਜਾ ਨਮੂਨਾ ਹੈ, ਇੱਕ ਮੁੱਖ ਅੰਤਰ ਨੂੰ ਛੱਡ ਕੇ ਸਾਰੇ ਪਹਿਲੂਆਂ ਵਿੱਚ ਲਗਭਗ ਇੱਕੋ ਜਿਹਾ ਹੈ। ਇਹ ਵੇਰੀਐਂਟ ਰਿਮੋਟ ਸਰਵਰ ਨੂੰ ਚੋਰੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਐਕਸਫਿਲਟਰ ਕਰਨ ਲਈ HTTPS ਦਾ ਲਾਭ ਲੈਂਦਾ ਹੈ। ਚੋਰੀ ਹੋਏ ਡੇਟਾ ਨੂੰ ਜ਼ਿਪ ਆਰਕਾਈਵ ਦੇ ਤੌਰ 'ਤੇ ਬਾਹਰ ਕੱਢਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸ਼ੱਕ ਪੈਦਾ ਕੀਤੇ ਬਿਨਾਂ ਪੀੜਤ ਦੀ ਜਾਣਕਾਰੀ ਨੂੰ ਸਮਝਦਾਰੀ ਨਾਲ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ।
