ਏਨਿਗਮਾ ਸਟੀਲਰ
ਰੂਸੀ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਨੇ ਇੱਕ ਮੁਹਿੰਮ ਤਿਆਰ ਕੀਤੀ ਹੈ ਜੋ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਉਦਯੋਗ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵਾਲੇ ਪੂਰਬੀ ਯੂਰਪੀਅਨ ਲੋਕਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਜਾਅਲੀ ਨੌਕਰੀ ਦੀਆਂ ਪੇਸ਼ਕਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਉਹ ਆਪਣੇ ਪੀੜਤਾਂ ਨੂੰ ਏਨਿਗਮਾ ਸਟੀਲਰ ਵਜੋਂ ਟ੍ਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਅਣਜਾਣ ਮਾਲਵੇਅਰ ਨਾਲ ਸੰਕਰਮਿਤ ਕਰਨ ਦਾ ਟੀਚਾ ਰੱਖਦੇ ਹਨ। ਧਮਕੀ ਭਰਿਆ ਓਪਰੇਸ਼ਨ ਬਹੁਤ ਜ਼ਿਆਦਾ ਗੁੰਝਲਦਾਰ ਲੋਡਰਾਂ ਦੇ ਇੱਕ ਗੁੰਝਲਦਾਰ ਸੈੱਟ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਪੁਰਾਣੇ Intel ਡਰਾਈਵਰ ਵਿੱਚ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਇਹ ਤਕਨੀਕ ਮਾਈਕਰੋਸਾਫਟ ਡਿਫੈਂਡਰ ਦੀ ਟੋਕਨ ਅਖੰਡਤਾ ਨੂੰ ਘਟਾਉਣ ਅਤੇ ਨਤੀਜੇ ਵਜੋਂ ਇਸਦੇ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ।
ਇਹਨਾਂ ਸਾਰੀਆਂ ਚਾਲਾਂ ਦੀ ਵਰਤੋਂ ਗੁਪਤ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਪੀੜਤਾਂ ਦੀਆਂ ਮਸ਼ੀਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਏਨਿਗਮਾ ਸਟੀਲਰ ਅਤੇ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਬਾਰੇ ਵੇਰਵੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਪ੍ਰਗਟ ਕੀਤੇ ਗਏ ਸਨ. ਉਹਨਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, ਏਨਿਗਮਾ ਓਪਨ-ਸੋਰਸ ਮਾਲਵੇਅਰ ਸਟੀਲੇਰੀਅਮ ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਹੈ।
ਏਨਿਗਮਾ ਸਟੀਲਰ ਦੀ ਕੰਪਲੈਕਸ ਇਨਫੈਕਸ਼ਨ ਚੇਨ
ਏਨਿਗਮਾ ਸਟੀਲਰ ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਆਪਣੇ ਪੀੜਤਾਂ 'ਤੇ ਹਮਲਾ ਕਰਨ ਲਈ ਇੱਕ ਮਾੜੀ ਸੋਚ ਵਾਲੀ ਈਮੇਲ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। ਨੌਕਰੀ ਦੇ ਮੌਕਿਆਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨ ਦਾ ਦਿਖਾਵਾ ਕਰਨ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਵਿੱਚ ਇੱਕ ਨੱਥੀ RAR ਪੁਰਾਲੇਖ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਸਿਰਿਲਿਕ ਵਿੱਚ ਲਿਖੇ ਇੰਟਰਵਿਊ ਦੇ ਸਵਾਲਾਂ ਵਾਲੀ .TXT ਫਾਈਲ ਹੁੰਦੀ ਹੈ, ਨਾਲ ਹੀ 'interview conditions.word.exe' ਨਾਮਕ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੁੰਦਾ ਹੈ। ਜੇਕਰ ਪੀੜਤ ਨੂੰ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਲਾਂਚ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਪੇਲੋਡਾਂ ਦੀ ਇੱਕ ਬਹੁ-ਪੜਾਵੀ ਲੜੀ ਨੂੰ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਆਖਰਕਾਰ ਟੈਲੀਗ੍ਰਾਮ ਤੋਂ ਏਨਿਗਮਾ ਜਾਣਕਾਰੀ-ਇਕੱਤਰ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।
ਪਹਿਲੇ-ਪੜਾਅ ਦਾ ਪੇਲੋਡ ਇੱਕ C++ ਡਾਊਨਲੋਡਰ ਹੈ ਜੋ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ, 'UpdateTask.dll' ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਲਾਂਚ ਕਰਨ ਵੇਲੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਕਈ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸ ਦੂਜੇ ਪੜਾਅ ਦਾ ਸ਼ੋਸ਼ਣ CVE-2015-2291 Intel ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ 'BYOVD' ਤਕਨੀਕ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ, ਜੋ ਕਿ ਕਰਨਲ ਅਧਿਕਾਰਾਂ ਨਾਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ ਮਾਲਵੇਅਰ ਤੀਜੇ ਪੇਲੋਡ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਮਾਈਕਰੋਸਾਫਟ ਡਿਫੈਂਡਰ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ਏਨਿਗਮਾ ਸਟੀਲਰ ਦੀਆਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਤੈਨਾਤ ਤੀਜਾ ਪੇਲੋਡ ਏਨਿਗਮਾ ਸਟੀਲਰ ਹੈ। ਇਹ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ, ਜਿਵੇਂ ਕਿ Google Chrome, Microsoft Edge, Opera ਅਤੇ ਹੋਰ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਸਿਸਟਮ ਜਾਣਕਾਰੀ, ਟੋਕਨਾਂ ਅਤੇ ਪਾਸਵਰਡਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੋਂ ਸਕ੍ਰੀਨਸ਼ਾਟ ਵੀ ਕੈਪਚਰ ਕਰ ਸਕਦਾ ਹੈ, ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ ਅਤੇ VPN ਕੌਂਫਿਗਰੇਸ਼ਨਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰ ਸਕਦਾ ਹੈ।
ਏਨਿਗਮਾ ਸਟੀਲਰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਉਟਲੁੱਕ, ਟੈਲੀਗ੍ਰਾਮ, ਸਿਗਨਲ, ਓਪਨਵੀਪੀਐਨ ਅਤੇ ਹੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਿੱਚ ਵੀ ਸਮਰੱਥ ਹੈ। ਸਾਰੀ ਇਕੱਤਰ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਜ਼ਿਪ ਆਰਕਾਈਵ ('Data.zip') ਵਿੱਚ ਸੰਕੁਚਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਟੈਲੀਗ੍ਰਾਮ ਰਾਹੀਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਵਾਪਸ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਦੇ ਆਪਣੇ ਡੇਟਾ ਨੂੰ ਹੋਰ ਛੁਪਾਉਣ ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਜਾਂ ਛੇੜਛਾੜ ਨੂੰ ਰੋਕਣ ਲਈ, ਏਨਿਗਮਾ ਦੀਆਂ ਕੁਝ ਸਟ੍ਰਿੰਗਾਂ, ਜਿਵੇਂ ਕਿ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ ਮਾਰਗ ਅਤੇ ਜਿਓਲੋਕੇਸ਼ਨ API ਸੇਵਾਵਾਂ URL, ਨੂੰ ਐਡਵਾਂਸਡ ਐਨਕ੍ਰਿਪਸ਼ਨ ਸਟੈਂਡਰਡ (AES) ਐਲਗੋਰਿਦਮ ਨਾਲ ਸਿਫਰ ਬਲਾਕ ਚੇਨਿੰਗ (CBC) ਮੋਡ ਵਿੱਚ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ।
