FrigidStealer Stealer
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੀਂ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਪਹਿਲਾਂ ਤੋਂ ਅਣਪਛਾਤੇ ਮੈਕੋਸ ਖ਼ਤਰੇ ਨੂੰ ਵੰਡਣ ਲਈ ਵੈੱਬ ਇੰਜੈਕਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ ਜਿਸਨੂੰ ਫ੍ਰੀਗਿਡਸਟੀਲਰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਮੁਹਿੰਮ ਨੂੰ TA2727 ਨਾਮਕ ਇੱਕ ਧਮਕੀ ਅਦਾਕਾਰ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਵਿੰਡੋਜ਼ (ਲੂਮਾ ਸਟੀਲਰ, ਡੀਅਰਸਟੀਲਰ) ਅਤੇ ਐਂਡਰਾਇਡ ( ਮਾਰਕਰ ) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੀਆਂ ਧਮਕੀਆਂ ਨਾਲ ਵੀ ਜੁੜਿਆ ਹੋਇਆ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
TA2727 ਅਤੇ ਖ਼ਤਰੇ ਦੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ ਇਸਦੀ ਭੂਮਿਕਾ
TA2727 ਵੱਖ-ਵੱਖ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਨਕਲੀ ਅੱਪਡੇਟ ਲੂਰ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ TA2726 ਦੇ ਨਾਲ ਨਵੇਂ ਪਛਾਣੇ ਗਏ ਖਤਰੇ ਦੇ ਸਮੂਹਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ, ਇੱਕ ਐਕਟਰ ਜੋ ਇੱਕ ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਵੰਡ ਪ੍ਰਣਾਲੀ (TDS) ਨੂੰ ਚਲਾਉਣ ਲਈ ਮੁਲਾਂਕਣ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸਿਸਟਮ TA2727 ਅਤੇ TA569 ਵਰਗੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਵੈੱਬ ਟ੍ਰੈਫਿਕ ਨੂੰ ਨਿਰਦੇਸ਼ਤ ਕਰਕੇ ਮਾਲਵੇਅਰ ਦੇ ਫੈਲਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
TA2726 ਅਤੇ ਹੋਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਵਿਚਕਾਰ ਸਬੰਧ
TA2726 TA2727 ਅਤੇ TA569 ਦੋਵਾਂ ਲਈ TDS ਵਜੋਂ ਕੰਮ ਕਰਕੇ ਮਾਲਵੇਅਰ ਵੰਡ ਵਿੱਚ ਮੁੱਖ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦਾ ਹੈ। ਬਾਅਦ ਵਾਲਾ SocGholish (ਜਿਸਨੂੰ FakeUpdates ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਬਦਨਾਮ ਹੈ, ਇੱਕ JavaScript-ਅਧਾਰਿਤ ਲੋਡਰ ਜੋ ਕਿ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਇੱਕ ਬ੍ਰਾਊਜ਼ਰ ਅੱਪਡੇਟ ਵਜੋਂ ਭੇਸ ਬਦਲਦਾ ਹੈ। ਘੱਟੋ-ਘੱਟ ਸਤੰਬਰ 2022 ਤੋਂ, TA2726 ਨੇ ਇਹਨਾਂ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਲਈ ਟ੍ਰੈਫਿਕ ਰੀਡਾਇਰੈਕਸ਼ਨ ਦੀ ਸਹੂਲਤ ਦਿੱਤੀ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਸਾਈਬਰ ਧਮਕੀ ਦੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ ਇੱਕ ਜ਼ਰੂਰੀ ਖਿਡਾਰੀ ਬਣ ਗਿਆ ਹੈ।
ਨਕਲੀ ਅੱਪਡੇਟ ਅਤੇ ਜੀਓ-ਟਾਰਗੇਟਡ ਪੇਲੋਡ
TA2727 ਅਤੇ TA569 ਦੋਵੇਂ ਹੀ ਆਪਣੇ ਖ਼ਤਰੇ ਭ੍ਰਿਸ਼ਟ JavaScript ਨਾਲ ਭਰੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਰਾਹੀਂ ਵੰਡਦੇ ਹਨ। ਇਹ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਸਾਈਟਾਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ Google Chrome ਜਾਂ Microsoft Edge ਲਈ ਨਕਲੀ ਬ੍ਰਾਊਜ਼ਰ ਅੱਪਡੇਟ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਭਰਮਾਉਂਦੀਆਂ ਹਨ। ਹਾਲਾਂਕਿ, TA2727 ਇੱਕ ਹੋਰ ਅਨੁਕੂਲਿਤ ਪਹੁੰਚ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਪ੍ਰਾਪਤਕਰਤਾ ਦੇ ਸਥਾਨ ਅਤੇ ਡਿਵਾਈਸ ਕਿਸਮ ਦੇ ਅਧਾਰ ਤੇ ਖਾਸ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
ਉਦਾਹਰਣ ਵਜੋਂ, ਜੇਕਰ ਫਰਾਂਸ ਜਾਂ ਯੂਕੇ ਵਿੱਚ ਕੋਈ ਵਿੰਡੋਜ਼ ਉਪਭੋਗਤਾ ਕਿਸੇ ਸੰਕਰਮਿਤ ਵੈੱਬਸਾਈਟ 'ਤੇ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਹਨਾਂ ਨੂੰ ਇੱਕ MSI ਇੰਸਟਾਲਰ ਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾ ਸਕਦਾ ਹੈ ਜੋ ਹਾਈਜੈਕ ਲੋਡਰ (DOILoader) ਨੂੰ ਲਾਂਚ ਕਰਦੀ ਹੈ, ਜੋ ਫਿਰ Lumma Stealer ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ। ਇਸੇ ਤਰ੍ਹਾਂ, ਉਸੇ ਸਕੀਮ ਰਾਹੀਂ ਰੀਡਾਇਰੈਕਟ ਕੀਤੇ ਗਏ ਐਂਡਰਾਇਡ ਉਪਭੋਗਤਾ ਅਣਜਾਣੇ ਵਿੱਚ ਮਾਰਚਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰ ਸਕਦੇ ਹਨ, ਇੱਕ ਬਦਨਾਮ ਬੈਂਕਿੰਗ ਟ੍ਰੋਜਨ ਜੋ ਇੱਕ ਦਹਾਕੇ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੋਂ ਸਰਗਰਮ ਹੈ।
ਹਮਲੇ ਨੂੰ macOS ਉਪਭੋਗਤਾਵਾਂ ਤੱਕ ਫੈਲਾਉਣਾ
ਜਨਵਰੀ 2025 ਤੱਕ, TA2727 ਨੇ ਉੱਤਰੀ ਅਮਰੀਕਾ ਤੋਂ ਬਾਹਰ ਰਹਿਣ ਵਾਲੇ macOS ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਆਪਣੀ ਮੁਹਿੰਮ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ। ਇਹਨਾਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੇ ਅਪਡੇਟ ਪੰਨਿਆਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਇੱਕ ਨਵੀਂ ਪਛਾਣ ਕੀਤੀ ਗਈ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ, FrigidStealer ਦੇ ਡਾਊਨਲੋਡ ਨੂੰ ਟਰਿੱਗਰ ਕਰਦੇ ਹਨ।
ਐਪਲ ਦੀ ਗੇਟਕੀਪਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ, FrigidStealer ਇੰਸਟਾਲਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਦਸਤਖਤ ਨਾ ਕੀਤੇ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਹੱਥੀਂ ਲਾਂਚ ਕਰਨ ਦੀ ਲੋੜ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਐਗਜ਼ੀਕਿਊਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਏਮਬੈਡਡ Mach-O ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਧਮਕੀ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ macOS-ਨਿਸ਼ਾਨਾ ਸਾਈਬਰ ਅਪਰਾਧ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਾਧਾ ਦਰਸਾਉਂਦਾ ਹੈ।
FrigidStealer ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ
FrigidStealer ਨੂੰ Go ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਣਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਐਡ-ਹਾਕ ਸਾਈਨਿੰਗ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹ WailsIO ਪ੍ਰੋਜੈਕਟ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜੋ ਉਪਭੋਗਤਾ ਦੇ ਬ੍ਰਾਊਜ਼ਰ ਦੇ ਅੰਦਰ ਸਮੱਗਰੀ ਨੂੰ ਰੈਂਡਰ ਕਰਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਰਣਨੀਤੀ ਇਸ ਭਰਮ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ ਕਿ ਖਤਰਨਾਕ ਇੰਸਟਾਲਰ ਜਾਇਜ਼ ਹੈ, ਸਫਲ ਲਾਗ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।
ਇੱਕ ਵਾਰ ਲਾਗੂ ਹੋਣ ਤੋਂ ਬਾਅਦ, FrigidStealer ਉਪਭੋਗਤਾ ਦੇ ਸਿਸਟਮ ਪਾਸਵਰਡ ਦੀ ਬੇਨਤੀ ਕਰਨ ਲਈ AppleScript ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਸਨੂੰ ਉੱਚੇ ਅਧਿਕਾਰ ਮਿਲਦੇ ਹਨ। ਇਸ ਪਹੁੰਚ ਨਾਲ, ਖ਼ਤਰਾ ਫਾਈਲਾਂ, ਸੰਵੇਦਨਸ਼ੀਲ ਬ੍ਰਾਊਜ਼ਰ ਡੇਟਾ, ਐਪਲ ਨੋਟਸ ਅਤੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਨਾਲ ਸਬੰਧਤ ਜਾਣਕਾਰੀ ਨੂੰ ਇਕੱਠਾ ਕਰ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਪ੍ਰਭਾਵਿਤ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮ ਪੈਦਾ ਹੁੰਦਾ ਹੈ।
ਵੱਡੀ ਤਸਵੀਰ: ਵੈੱਬ-ਅਧਾਰਤ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ
ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਦੀ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਵਿਧੀ ਵਜੋਂ ਵਰਤੋਂ ਸਾਈਬਰ ਖਤਰਿਆਂ ਵਿੱਚ ਇੱਕ ਚੱਲ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਹਮਲਾਵਰ ਟਾਰਗੇਟ ਦੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਅਤੇ ਭੂਗੋਲਿਕ ਸਥਾਨ ਦੇ ਆਧਾਰ 'ਤੇ ਪੇਲੋਡ ਨੂੰ ਅਨੁਕੂਲਿਤ ਕਰ ਰਹੇ ਹਨ, ਵੱਧ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋਏ। ਹਾਲਾਂਕਿ ਵਿੰਡੋਜ਼ ਦੇ ਮੁਕਾਬਲੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣ ਵਿੱਚ ਮੈਕੋਸ ਸਿਸਟਮ ਘੱਟ ਆਮ ਰਹਿੰਦੇ ਹਨ, ਇਹ ਮੁਹਿੰਮ ਮੈਕੋਸ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵਿਕਸਤ ਹੋ ਰਹੇ ਸਾਈਬਰ ਖਤਰਿਆਂ ਵਿਰੁੱਧ ਚੌਕਸ ਰਹਿਣ ਦੀ ਵੱਧ ਰਹੀ ਜ਼ਰੂਰਤ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ।
