CORNFLAKE.V3 ਬੈਕਡੋਰ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਇੱਕ ਗੁੰਝਲਦਾਰ ਬੈਕਡੋਰ, CORNFLAKE.V3 ਨੂੰ ਵੰਡਣ ਲਈ ClickFix ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਤਕਨੀਕ ਦੀ ਵੱਧ ਤੋਂ ਵੱਧ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। UNC5518 ਨਾਮਕ ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਟਰੈਕ ਕਰਨ ਵਾਲੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸਨੂੰ ਇੱਕ ਐਕਸੈਸ-ਐਜ਼-ਏ-ਸਰਵਿਸ ਓਪਰੇਸ਼ਨ ਨਾਲ ਜੋੜਿਆ ਹੈ ਜਿੱਥੇ ਨਕਲੀ ਕੈਪਚਾ ਪੰਨੇ ਪੀੜਤਾਂ ਨੂੰ ਖਤਰਨਾਕ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਭਰਮਾਉਂਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਸਨੂੰ ਹੋਰ ਸ਼ੋਸ਼ਣ ਲਈ ਦੁਬਾਰਾ ਵੇਚਿਆ ਜਾਂਦਾ ਹੈ ਜਾਂ ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਨਾਲ ਸਾਂਝਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਹਮਲਾ ਕਿਵੇਂ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਕਸਰ ਉਦੋਂ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਉਪਭੋਗਤਾ SEO-ਜ਼ਹਿਰੀਲੇ ਖੋਜ ਨਤੀਜਿਆਂ ਜਾਂ ਖਤਰਨਾਕ ਇਸ਼ਤਿਹਾਰਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦੇ ਹਨ। ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਨਕਲੀ CAPTCHA ਪੁਸ਼ਟੀਕਰਨ ਪੰਨੇ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ Cloudflare ਦੇ ਟਰਨਸਟਾਇਲ ਜਾਂ ਹੋਰ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦੇ ਸਮਾਨ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਮੰਨਦੇ ਹੋਏ ਕਿ ਉਹ ਇੱਕ ਪੁਸ਼ਟੀਕਰਨ ਚੁਣੌਤੀ ਨੂੰ ਹੱਲ ਕਰ ਰਹੇ ਹਨ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਬਾਕਸ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ PowerShell ਸਕ੍ਰਿਪਟ ਨੂੰ ਕਾਪੀ ਅਤੇ ਪੇਸਟ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਲੋੜੀਂਦੀ ਜਗ੍ਹਾ ਮਿਲਦੀ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੀ ਸ਼ਮੂਲੀਅਤ

UNC5518 ਮੁਹਿੰਮਾਂ ਤੋਂ ਚੋਰੀ ਕੀਤੀ ਗਈ ਪਹੁੰਚ ਨੂੰ ਘੱਟੋ-ਘੱਟ ਦੋ ਵੱਖ-ਵੱਖ ਸਮੂਹਾਂ ਦੁਆਰਾ ਵਰਤਿਆ ਗਿਆ ਹੈ:

• UNC5774 - ਇੱਕ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਅਦਾਕਾਰ ਜੋ ਵਾਧੂ ਪੇਲੋਡ ਤਾਇਨਾਤ ਕਰਨ ਲਈ CORNFLAKE ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
• UNC4108 – ਅਸਪਸ਼ਟ ਉਦੇਸ਼ਾਂ ਵਾਲਾ ਇੱਕ ਸਮੂਹ, ਜਿਸਨੂੰ VOLTMARKER ਅਤੇ NetSupport RAT ਵਰਗੇ ਮਾਲਵੇਅਰ ਨੂੰ ਛੱਡਣ ਲਈ PowerShell ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ।

ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਕਿਵੇਂ ClickFix ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਖਤਰਨਾਕ ਫਾਲੋ-ਅੱਪ ਗਤੀਵਿਧੀਆਂ ਲਈ ਇੱਕ ਗੇਟਵੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

CORNFLAKE.V3 ਦੇ ਅੰਦਰ

CORNFLAKE.V3 ਬੈਕਡੋਰ JavaScript ਅਤੇ PHP ਦੋਵਾਂ ਰੂਪਾਂ ਵਿੱਚ ਮੌਜੂਦ ਹੈ। ਇਸਨੂੰ ਇਸ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ:

• HTTP ਰਾਹੀਂ ਵੱਖ-ਵੱਖ ਪੇਲੋਡ ਚਲਾਓ, ਜਿਸ ਵਿੱਚ ਐਗਜ਼ੀਕਿਊਟੇਬਲ, DLL, JavaScript, ਬੈਚ ਫਾਈਲਾਂ, ਅਤੇ PowerShell ਕਮਾਂਡਾਂ ਸ਼ਾਮਲ ਹਨ।
• ਮੁੱਢਲਾ ਸਿਸਟਮ ਡੇਟਾ ਇਕੱਠਾ ਕਰੋ ਅਤੇ ਇਸਨੂੰ ਛੁਪਾਉਣ ਲਈ ਕਲਾਉਡਫਲੇਅਰ ਸੁਰੰਗਾਂ ਰਾਹੀਂ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਨੂੰ ਭੇਜੋ।

ਆਪਣੇ ਪੂਰਵਗਾਮੀ V2 ਦੇ ਉਲਟ, ਜੋ ਸਿਰਫ਼ ਇੱਕ ਡਾਊਨਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਸੀ, V3 ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਰਨ ਕੁੰਜੀਆਂ ਨੂੰ ਸੋਧ ਕੇ ਸਥਿਰਤਾ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਅਤੇ ਪੇਲੋਡਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇਸ ਰਾਹੀਂ ਘੱਟੋ-ਘੱਟ ਤਿੰਨ ਪੇਲੋਡ ਵੰਡੇ ਗਏ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਇੱਕ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਰੀਕੋਨੈਸਨ ਟੂਲ
• ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਲਈ ਇੱਕ ਕਰਬਰੋਸਟਿੰਗ ਸਕ੍ਰਿਪਟ

WINDYTWIST.SEA, ਇੱਕ C-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਜਿਸ ਵਿੱਚ ਰਿਵਰਸ ਸ਼ੈੱਲ ਐਕਸੈਸ, TCP ਟ੍ਰੈਫਿਕ ਰੀਲੇਅਿੰਗ, ਅਤੇ ਲੇਟਰਲ ਮੂਵਮੈਂਟ ਵਰਗੀਆਂ ਸਮਰੱਥਾਵਾਂ ਹਨ।

ਕਲਿਕਫਿਕਸ ਖ਼ਤਰਨਾਕ ਕਿਉਂ ਹੈ

ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੇ ਚੱਕਰਾਂ ਵਿੱਚ ClickFix ਵਿਧੀ ਨੇ ਤੇਜ਼ੀ ਫੜ ਲਈ ਹੈ ਕਿਉਂਕਿ ਇਹ ਮਨੁੱਖੀ ਆਪਸੀ ਤਾਲਮੇਲ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦੀ ਹੈ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਬਹੁਤ ਸਾਰੇ ਸਵੈਚਾਲਿਤ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ, ਖੁਦ ਕਮਾਂਡਾਂ ਚਲਾਉਣ ਲਈ ਹੇਰਾਫੇਰੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਆਮ ਡਿਲੀਵਰੀ ਵੈਕਟਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ
• ਮਾਲਵੇਅਰਾਈਜ਼ਿੰਗ ਮੁਹਿੰਮਾਂ
• ਡਰਾਈਵ-ਬਾਈ ਵੈੱਬਸਾਈਟ ਨਾਲ ਸਮਝੌਤਾ

ਭਰੋਸੇਯੋਗਤਾ ਵਧਾਉਣ ਲਈ, ਹਮਲਾਵਰ ਅਕਸਰ ਜਾਣੇ-ਪਛਾਣੇ ਬ੍ਰਾਂਡਾਂ, ਕਲਾਉਡਫਲੇਅਰ ਜਾਂਚਾਂ, ਜਾਂ ਡਿਸਕਾਰਡ ਸਰਵਰ ਪੁਸ਼ਟੀਕਰਨਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ।

ਕਲਿਕਫਿਕਸ ਕਿੱਟਾਂ ਦਾ ਵਪਾਰੀਕਰਨ

2024 ਦੇ ਅਖੀਰ ਤੋਂ, ClickFix ਬਿਲਡਰ ਭੂਮੀਗਤ ਫੋਰਮਾਂ 'ਤੇ ਪ੍ਰਗਟ ਹੋਏ ਹਨ, ਜਿਨ੍ਹਾਂ ਨੂੰ 'Win + R' ਕਿੱਟਾਂ ਵਜੋਂ ਮਾਰਕੀਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਕੀਮਤਾਂ ਆਮ ਤੌਰ 'ਤੇ ਪ੍ਰਤੀ ਮਹੀਨਾ $200 ਤੋਂ $1,500 ਤੱਕ ਹੁੰਦੀਆਂ ਹਨ। ਵਿਅਕਤੀਗਤ ਹਿੱਸੇ, ਜਿਵੇਂ ਕਿ ਸਰੋਤ ਕੋਡ, ਲੈਂਡਿੰਗ ਪੰਨੇ, ਜਾਂ ਕਮਾਂਡ-ਲਾਈਨ ਸਕ੍ਰਿਪਟਾਂ, ਅਕਸਰ $200–$500 ਵਿੱਚ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਵੇਚੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।

ਕੁਝ ਐਡਵਾਂਸਡ ਕਿੱਟਾਂ ClickFix ਬਿਲਡਰਾਂ ਨੂੰ ਹੋਰ ਮਾਲਵੇਅਰ ਲੋਡਰਾਂ ਨਾਲ ਜੋੜਦੀਆਂ ਹਨ ਅਤੇ ਪੇਸ਼ਕਸ਼ ਕਰਦੀਆਂ ਹਨ:

• ਵੱਖ-ਵੱਖ ਲੂਰ ਵਾਲੇ ਤਿਆਰ ਲੈਂਡਿੰਗ ਪੰਨੇ
• ਐਂਟੀਵਾਇਰਸ ਖੋਜ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੀ ਗਰੰਟੀਸ਼ੁਦਾ ਕਮਾਂਡਾਂ
• ਸਥਿਰਤਾ ਅਤੇ ਸਮਾਰਟਸਕ੍ਰੀਨ ਚੋਰੀ ਲਈ ਵਿਕਲਪ

ਰੱਖਿਆਤਮਕ ਉਪਾਅ

ClickFix-ਅਧਾਰਿਤ ਇਨਫੈਕਸ਼ਨਾਂ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ, ਸੰਗਠਨਾਂ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਬਚਾਅ ਅਪਣਾਉਣੇ ਚਾਹੀਦੇ ਹਨ। ਸਿਫ਼ਾਰਸ਼ ਕੀਤੇ ਕਦਮਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਜਿੱਥੇ ਸੰਭਵ ਹੋਵੇ, ਵਿੰਡੋਜ਼ ਰਨ ਡਾਇਲਾਗ ਨੂੰ ਸੀਮਤ ਜਾਂ ਅਯੋਗ ਕਰਨਾ।
• ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਿਖਲਾਈ ਦੇਣ ਲਈ ਨਿਯਮਤ ਫਿਸ਼ਿੰਗ ਅਤੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਸਿਮੂਲੇਸ਼ਨਾਂ ਦਾ ਆਯੋਜਨ ਕਰਨਾ।
• ਅਸਧਾਰਨ ਪਾਵਰਸ਼ੈਲ ਜਾਂ ਸਕ੍ਰਿਪਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨਾਂ ਦਾ ਤੇਜ਼ੀ ਨਾਲ ਪਤਾ ਲਗਾਉਣ ਲਈ ਮਜ਼ਬੂਤ ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ ਲਾਗੂ ਕਰਨਾ।

ਰੋਕਥਾਮ ਅਤੇ ਸ਼ੁਰੂਆਤੀ ਖੋਜ ਦੋਵਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਤ ਕਰਕੇ, ਸੰਗਠਨ ClickFix ਅਤੇ CORNFLAKE.V3 ਨਾਲ ਸਬੰਧਤ ਮੁਹਿੰਮਾਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਜੋਖਮ ਨੂੰ ਕਾਫ਼ੀ ਹੱਦ ਤੱਕ ਘਟਾ ਸਕਦੇ ਹਨ।