DarkMe ਮਾਲਵੇਅਰ

ਮਾਈਕ੍ਰੋਸਾਫਟ ਡਿਫੈਂਡਰ ਸਮਾਰਟਸਕ੍ਰੀਨ ਵਿੱਚ ਇੱਕ ਹਾਲ ਹੀ ਵਿੱਚ ਸਾਹਮਣੇ ਆਈ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀ ਨੂੰ ਵਾਟਰ ਹਾਈਡਰਾ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਉੱਨਤ ਨਿਰੰਤਰ ਧਮਕੀ ਸਮੂਹ ਦੁਆਰਾ ਇੱਕ ਜ਼ੀਰੋ-ਦਿਨ ਸ਼ੋਸ਼ਣ ਵਜੋਂ ਵਰਤਿਆ ਗਿਆ ਹੈ, ਜਿਸਨੂੰ ਡਾਰਕ ਕੈਸੀਨੋ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਹਮਲੇ ਦਾ ਮੁੱਖ ਨਿਸ਼ਾਨਾ ਵਿੱਤੀ ਬਾਜ਼ਾਰ ਵਪਾਰ ਵਿੱਚ ਸ਼ਾਮਲ ਵਿਅਕਤੀ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦਸੰਬਰ 2023 ਵਿੱਚ ਇਸ ਖਤਰਨਾਕ ਮੁਹਿੰਮ ਦਾ ਪਤਾ ਲਗਾਇਆ।

ਹਮਲਾਵਰ CVE-2024-21412, ਇੰਟਰਨੈਟ ਸ਼ਾਰਟਕੱਟ ਫਾਈਲਾਂ (.URL) ਨਾਲ ਜੁੜੀ ਇੱਕ ਸੁਰੱਖਿਆ ਬਾਈਪਾਸ ਕਮਜ਼ੋਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾ ਰਹੇ ਹਨ। ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ CVE-2024-21412 ਦੀ ਵਰਤੋਂ Microsoft ਡਿਫੈਂਡਰ ਸਮਾਰਟਸਕ੍ਰੀਨ ਨੂੰ ਰੋਕਣ ਲਈ ਕਰਦਾ ਹੈ ਅਤੇ ਸ਼ੱਕੀ ਪੀੜਤਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ DarkMe ਮਾਲਵੇਅਰ ਨੂੰ ਪੇਸ਼ ਕਰਦਾ ਹੈ।

ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਨੇ ਇਸ ਤੋਂ ਬਾਅਦ ਆਪਣੇ ਫਰਵਰੀ ਪੈਚ ਮੰਗਲਵਾਰ ਅਪਡੇਟ ਵਿੱਚ ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਸੰਬੋਧਿਤ ਕੀਤਾ ਹੈ। ਕੰਪਨੀ ਦੇ ਅਨੁਸਾਰ, ਇੱਕ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹੈਕਰ ਨਿਸ਼ਾਨਾ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀ ਗਈ ਫਾਈਲ ਭੇਜ ਕੇ ਖਰਾਬੀ ਦਾ ਫਾਇਦਾ ਉਠਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਹ ਸੁਰੱਖਿਆ ਜਾਂਚਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਸ਼ੋਸ਼ਣ ਦੀ ਸਫਲਤਾ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ ਜੋ ਪੀੜਤ ਨੂੰ ਫਾਈਲ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਅਤੇ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਮਗਰੀ ਨੂੰ ਦੇਖਣ ਲਈ ਰਾਜ਼ੀ ਕਰਦਾ ਹੈ।

ਡਾਰਕਮੀ ਮਾਲਵੇਅਰ ਨੂੰ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ

DarkMe ਨਾ ਸਿਰਫ਼ ਅਤਿਰਿਕਤ ਨਿਰਦੇਸ਼ਾਂ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ ਅਤੇ ਲਾਗੂ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਸਗੋਂ ਆਪਣੇ ਆਪ ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਰਜਿਸਟਰ ਕਰਨ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੋਂ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ।

ਦੇਖੀ ਗਈ ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਦੇ ਦੌਰਾਨ, CVE-2024-21412 ਦਾ ਸ਼ੋਸ਼ਣ ਇੱਕ ਹਾਨੀਕਾਰਕ ਇੰਸਟਾਲਰ ਫਾਈਲ ('7z.msi') ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਇੱਕ ਬੂਬੀ-ਟਰੈਪ URL ('fxbulls.ru') 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਪੀੜਤਾਂ ਨੂੰ ਭਰਮਾਉਣ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਫੋਰੈਕਸ ਵਪਾਰ ਫੋਰਮਾਂ ਦੁਆਰਾ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਲਾਲਚ ਨੂੰ ਇੱਕ ਸਟਾਕ ਚਾਰਟ ਚਿੱਤਰ ਲਈ ਇੱਕ ਲਿੰਕ ਸਾਂਝਾ ਕਰਨ ਦੀ ਆੜ ਵਿੱਚ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ. ਹਾਲਾਂਕਿ, ਲਿੰਕ ਦੀ ਅਸਲ ਸਮੱਗਰੀ ਇੱਕ ਇੰਟਰਨੈਟ ਸ਼ਾਰਟਕੱਟ ਫਾਈਲ ਹੈ ('photo_2023-12-29.jpg.url')।

'fxbulls.ru' 'ਤੇ ਲੈਂਡਿੰਗ ਪੰਨੇ 'ਤੇ ਧਿਆਨ ਨਾਲ ਤਿਆਰ ਕੀਤੇ ਫਿਲਟਰ ਕੀਤੇ ਦ੍ਰਿਸ਼ ਦੇ ਨਾਲ ਇੱਕ ਧਮਕੀ ਭਰੇ WebDAV ਸ਼ੇਅਰ ਵੱਲ ਲੈ ਜਾਣ ਵਾਲੇ ਲਿੰਕ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ। ਜਦੋਂ ਉਪਭੋਗਤਾ ਇਸ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਦੇ ਹਨ, ਤਾਂ ਬ੍ਰਾਊਜ਼ਰ ਉਹਨਾਂ ਨੂੰ ਇਸਨੂੰ ਵਿੰਡੋਜ਼ ਐਕਸਪਲੋਰਰ ਵਿੱਚ ਖੋਲ੍ਹਣ ਲਈ ਕਹਿੰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹ ਸੁਰੱਖਿਆ ਪ੍ਰੋਂਪਟ ਨੂੰ ਟਰਿੱਗਰ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਉਪਭੋਗਤਾ ਨੂੰ ਲਿੰਕ ਦੀ ਅਸੁਰੱਖਿਅਤ ਪ੍ਰਕਿਰਤੀ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਨ ਲਈ ਅਗਵਾਈ ਕਰਦਾ ਹੈ।

ਇਸ ਸਕੀਮ ਦਾ ਇੱਕ ਧਿਆਨ ਦੇਣ ਯੋਗ ਪਹਿਲੂ ਖੋਜ ਐਪਲੀਕੇਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦਾ ਸ਼ੋਸ਼ਣ ਹੈ, ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਵਿੰਡੋਜ਼ ਉੱਤੇ ਡੈਸਕਟੌਪ ਖੋਜ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਕਾਲ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਪਿਛਲੇ ਸਮੇਂ ਵਿੱਚ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਇਸ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਅਭਿਨੇਤਾ ਦੀ ਚਲਾਕ ਹੇਰਾਫੇਰੀ ਲਾਗ ਦੀ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਧੋਖੇ ਦੀ ਇੱਕ ਵਾਧੂ ਪਰਤ ਜੋੜਦੀ ਹੈ।

APT (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੈਟ) ਸਮੂਹ ਅਕਸਰ ਜ਼ੀਰੋ-ਡੇਅ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ

DarkMe ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਵਿੱਚ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਸੰਦਰਭ ਲਈ ਇਹ ਵਿਲੱਖਣ ਪਹੁੰਚ ਇੱਕ ਹੋਰ ਸ਼ਾਰਟਕੱਟ ਦੇ ਅੰਦਰ ਇੱਕ ਸ਼ਾਰਟਕੱਟ ਦੀ ਵਰਤੋਂ ਤੋਂ ਪੈਦਾ ਹੁੰਦੀ ਹੈ, ਜੋ ਸਮਾਰਟਸਕ੍ਰੀਨ ਨੂੰ ਰੋਕਣ ਵਿੱਚ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਸਾਬਤ ਹੋਇਆ ਹੈ। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਸਮਾਰਟਸਕ੍ਰੀਨ ਮਾਰਕ ਔਫ ਦ ਵੈੱਬ (MotW) ਨੂੰ ਉਚਿਤ ਰੂਪ ਵਿੱਚ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੀ ਹੈ, ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿੰਡੋਜ਼ ਕੰਪੋਨੈਂਟ ਹੈ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਗੈਰ-ਭਰੋਸੇਯੋਗ ਸਰੋਤਾਂ ਤੋਂ ਫਾਈਲਾਂ ਖੋਲ੍ਹਣ ਜਾਂ ਚਲਾਉਣ ਵੇਲੇ ਸੁਚੇਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਦਾ ਅੰਤਮ ਉਦੇਸ਼ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਡਾਰਕਮੀ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਟਰੋਜਨ ਪ੍ਰਦਾਨ ਕਰਨਾ ਹੈ। ਇਸਦੇ ਨਾਲ ਹੀ, ਮੁਹਿੰਮ ਪੀੜਤ ਨੂੰ ਇੱਕ ਸਟਾਕ ਗ੍ਰਾਫ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਕੇ, ਸ਼ੋਸ਼ਣ ਅਤੇ ਲਾਗ ਦੀ ਲੜੀ ਦੇ ਅਸਲ ਸੁਭਾਅ ਨੂੰ ਛੁਪਾਉਣ ਦੁਆਰਾ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਨਕਾਬ ਨੂੰ ਕਾਇਮ ਰੱਖਦੀ ਹੈ।

ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ ਨਵੀਆਂ ਖੋਜੀਆਂ ਗਈਆਂ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀਆਂ, ਅਕਸਰ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹਾਂ ਦੁਆਰਾ ਪਛਾਣੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਰਾਸ਼ਟਰ-ਰਾਜ ਹੈਕਿੰਗ ਸਮੂਹਾਂ ਦੇ ਹਥਿਆਰਾਂ ਵਿੱਚ ਆਪਣਾ ਰਸਤਾ ਲੱਭ ਸਕਦੀਆਂ ਹਨ। ਇਹ ਸੂਝਵਾਨ ਹਮਲਾਵਰ, ਜਿਵੇਂ ਕਿ ਵਾਟਰ ਹਾਈਡਰਾ, ਕੋਲ ਤਕਨੀਕੀ ਮੁਹਾਰਤ ਅਤੇ ਤਕਨੀਕੀ ਮੁਹਾਰਤ ਅਤੇ ਸਾਧਨ ਹਨ ਜੋ ਉੱਨਤ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਜ਼ੀਰੋ-ਦਿਨ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਉਜਾਗਰ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਲੋੜੀਂਦੇ ਹਨ। ਇਹ ਉਹਨਾਂ ਨੂੰ ਬਹੁਤ ਹੀ ਵਿਨਾਸ਼ਕਾਰੀ ਮਾਲਵੇਅਰ ਜਿਵੇਂ ਕਿ DarkMe ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਗੁੰਝਲਦਾਰ ਅਤੇ ਸ਼ਕਤੀਸ਼ਾਲੀ ਹਮਲਿਆਂ ਨੂੰ ਅੰਜ਼ਾਮ ਦੇਣ ਦੀ ਆਪਣੀ ਸਮਰੱਥਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ।