ਲੋਬਸ਼ੌਟ ਮਾਲਵੇਅਰ
LOBSHOT ਨਾਮਕ ਇੱਕ ਨਵਾਂ ਮਾਲਵੇਅਰ ਖ਼ਤਰਾ Google Ads ਦੁਆਰਾ ਵੰਡਿਆ ਗਿਆ ਹੈ ਅਤੇ hVNC ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਵਿੰਡੋਜ਼ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ ਜਾਇਜ਼ AnyDesk ਰਿਮੋਟ ਮੈਨੇਜਮੈਂਟ ਸੌਫਟਵੇਅਰ ਲਈ ਜਾਪਦੇ ਇਸ਼ਤਿਹਾਰਾਂ ਦੁਆਰਾ ਉਤਸ਼ਾਹਿਤ ਕੀਤੇ ਜਾ ਰਹੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਦੇਖਿਆ ਗਿਆ ਸੀ। ਹਾਲਾਂਕਿ, ਖਤਰਨਾਕ ਵਿਗਿਆਪਨ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਜਾਅਲੀ ਵੈਬਸਾਈਟ 'ਤੇ ਲੈ ਜਾਂਦੇ ਹਨ। ਇਹ ਪੰਨਾ, 'amydeecke.website', ਇੱਕ ਖਤਰਨਾਕ MSI ਫਾਈਲ ਨੂੰ ਧੱਕਦਾ ਹੈ, ਜੋ ਬਦਲੇ ਵਿੱਚ, ਇੱਕ PowerShell ਕਮਾਂਡ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਟੀਚਾ download-cdn[.]com ਤੋਂ ਇੱਕ DLL ਡਾਊਨਲੋਡ ਕਰਨਾ ਹੈ, ਇੱਕ ਡੋਮੇਨ ਜੋ ਪਹਿਲਾਂ TA505/Clop ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਦੀਆਂ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਗਤੀਵਿਧੀਆਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ।
ਡਾਊਨਲੋਡ ਕੀਤੀ DLL ਫਾਈਲ LOBSHOT ਮਾਲਵੇਅਰ ਹੈ ਅਤੇ C:\ProgramData ਫੋਲਡਰ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜਿੱਥੇ ਇਸਨੂੰ RunDLL32.exe ਦੁਆਰਾ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਰਿਪੋਰਟ ਦੇ ਅਨੁਸਾਰ, ਜਿਸ ਵਿੱਚ LOBSHOT ਬਾਰੇ ਵੇਰਵਿਆਂ ਦਾ ਖੁਲਾਸਾ ਹੋਇਆ ਹੈ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਜੁਲਾਈ 2022 ਤੋਂ ਲੈ ਕੇ ਹੁਣ ਤੱਕ 500 ਤੋਂ ਵੱਧ ਵਿਲੱਖਣ LOBSHOT ਨਮੂਨੇ ਦੇਖੇ ਹਨ। ਪਛਾਣੇ ਗਏ ਨਮੂਨੇ ਆਮ ਤੌਰ 'ਤੇ 32-ਬਿੱਟ DLLs ਜਾਂ 32-ਬਿੱਟ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਰੂਪ ਵਿੱਚ 93 KB ਤੋਂ 124 KB ਦੇ ਵਿਚਕਾਰ ਹੁੰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਉਲੰਘਣਾ ਕੀਤੇ ਯੰਤਰਾਂ 'ਤੇ ਐਗਜ਼ੀਕਿਊਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, LOBSHOT ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਮਾਈਕ੍ਰੋਸਾਫਟ ਡਿਫੈਂਡਰ ਚੱਲ ਰਿਹਾ ਹੈ ਅਤੇ ਜੇਕਰ ਪਤਾ ਚੱਲਦਾ ਹੈ ਤਾਂ ਇਸ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਾਈਬਰ ਅਪਰਾਧੀ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ ਨੂੰ ਵੰਡਣ ਲਈ Google Ads ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਖੋਜ ਨਤੀਜਿਆਂ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਫੈਲਾਉਣ ਲਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ Google ਵਿਗਿਆਪਨਾਂ ਦੀ ਵਰਤੋਂ ਵਿੱਚ ਕਾਫੀ ਵਾਧਾ ਦੇਖਿਆ ਹੈ। ਖਤਰਨਾਕ ਵਿਗਿਆਪਨ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਵੱਖ-ਵੱਖ ਵੈੱਬਸਾਈਟਾਂ ਅਤੇ ਜਾਇਜ਼ ਸਾਫਟਵੇਅਰ ਉਤਪਾਦਾਂ, ਜਿਵੇਂ ਕਿ 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus ਅਤੇ ਕਈ ਹੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਨਕਲ ਸ਼ਾਮਲ ਹੈ।
ਇਸ਼ਤਿਹਾਰਾਂ ਦੁਆਰਾ ਦਿੱਤੀ ਜਾਇਜ਼ਤਾ ਦੇ ਪ੍ਰਭਾਵ ਦੇ ਬਾਵਜੂਦ, ਉਹ ਵੈਬਸਾਈਟਾਂ ਜਿਨ੍ਹਾਂ ਨੂੰ ਉਹ ਰੀਡਾਇਰੈਕਟ ਕਰਦੇ ਹਨ ਅਸਲ ਵਿੱਚ ਅਸਲ ਐਪਲੀਕੇਸ਼ਨਾਂ ਪ੍ਰਦਾਨ ਕਰਨ ਦੀ ਬਜਾਏ ਗੋਜ਼ੀ , ਰੈੱਡਲਾਈਨ , ਵਿਦਾਰ , ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ , ਸੇਕਟੋਆਰਏਟੀ, ਅਤੇ ਰਾਇਲ ਰੈਨਸਮਵੇਅਰ ਸਮੇਤ ਮਾਲਵੇਅਰ ਦਾ ਪ੍ਰਸਾਰ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ।
LOBSHOT ਮਾਲਵੇਅਰ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਐਕਸਟੈਂਸ਼ਨਾਂ ਅਤੇ ਵਾਲਿਟ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ
ਜੇਕਰ LOBSHOT ਨੂੰ ਮਾਈਕਰੋਸਾਫਟ ਡਿਫੈਂਡਰ ਦੀ ਮੌਜੂਦਗੀ ਦੇ ਸੰਕੇਤ ਨਹੀਂ ਮਿਲੇ, ਤਾਂ ਇਹ ਇਸਦੇ ਧਮਕੀ ਭਰੇ ਪ੍ਰੋਗਰਾਮਿੰਗ ਨਾਲ ਅੱਗੇ ਵਧੇਗਾ। ਧਮਕੀ ਹਰ ਵਿੰਡੋਜ਼ ਬੂਟ 'ਤੇ ਇਸਦੀ ਸ਼ੁਰੂਆਤ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਰਜਿਸਟਰੀ ਐਂਟਰੀਆਂ ਨੂੰ ਆਪਣੇ ਆਪ ਸੰਰਚਿਤ ਕਰੇਗੀ। LOBSHOT ਫਿਰ ਸੰਕਰਮਿਤ ਯੰਤਰ ਤੋਂ, ਸਾਰੀਆਂ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਸਮੇਤ, ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰੇਗਾ ਅਤੇ ਸੰਚਾਰਿਤ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰੇਗਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ 32 ਕ੍ਰੋਮ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ ਐਕਸਟੈਂਸ਼ਨਾਂ, ਨੌ ਐਜ ਵਾਲਿਟ ਐਕਸਟੈਂਸ਼ਨਾਂ, ਅਤੇ 11 ਫਾਇਰਫਾਕਸ ਵਾਲਿਟ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ।
ਇਹਨਾਂ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ 'ਤੇ, ਮਾਲਵੇਅਰ C:\ProgramData ਫੋਲਡਰ ਵਿੱਚ ਇੱਕ ਫਾਈਲ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਖੋਜਕਰਤਾ ਅਨਿਸ਼ਚਿਤ ਹਨ ਕਿ ਕੀ ਫਾਈਲ ਦਾ ਉਦੇਸ਼ ਐਕਸਟੈਂਸ਼ਨ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨਾ ਹੈ ਜਾਂ ਕੋਈ ਹੋਰ ਨੁਕਸਾਨਦੇਹ ਕਾਰਵਾਈ ਹੈ।
ਹਾਲਾਂਕਿ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨਾ ਮਾਲਵੇਅਰ ਲਈ ਇੱਕ ਆਮ ਟੀਚਾ ਹੈ, LOBSHOT ਮਾਲਵੇਅਰ ਵਿੱਚ ਇਸਦੇ ਢਾਂਚੇ ਵਿੱਚ ਇੱਕ hVNC ਮੋਡੀਊਲ ਵੀ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਮੋਡੀਊਲ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਨੂੰ ਰਿਮੋਟਲੀ ਸਮਝਦਾਰੀ ਨਾਲ ਐਕਸੈਸ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
LOBSHOT ਮਾਲਵੇਅਰ ਬਰੇਕਡ ਡਿਵਾਈਸਾਂ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ
ਪੀੜਤ ਦੀ ਜਾਣਕਾਰੀ ਤੋਂ ਬਿਨਾਂ ਵਿੰਡੋਜ਼ ਡੈਸਕਟੌਪ ਕੰਪਿਊਟਰ ਨੂੰ ਰਿਮੋਟਲੀ ਕੰਟਰੋਲ ਕਰਨ ਦੀ ਸਮਰੱਥਾ hVNC (ਲੁਕਿਆ ਹੋਇਆ ਵਰਚੁਅਲ ਨੈੱਟਵਰਕ ਕੰਪਿਊਟਿੰਗ) ਮੋਡੀਊਲ ਦੁਆਰਾ ਸੰਭਵ ਬਣਾਇਆ ਗਿਆ ਹੈ।
LOBSHOT ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਮਾਲਵੇਅਰ ਵਿੱਚ ਇੱਕ hVNC ਮੋਡੀਊਲ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜੋ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਆਪਣੇ ਕੀਬੋਰਡ ਅਤੇ ਮਾਊਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਲੁਕਵੇਂ ਡੈਸਕਟੌਪ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਉਹ ਇਸਦੇ ਸਾਹਮਣੇ ਸਰੀਰਕ ਤੌਰ 'ਤੇ ਮੌਜੂਦ ਸਨ।
ਇੱਕ ਵਾਰ ਮੋਡੀਊਲ ਐਕਟੀਵੇਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਇੱਕ ਸੁਣਨ ਵਾਲੇ ਕਲਾਇੰਟ ਨੂੰ ਲੁਕੇ ਹੋਏ ਡੈਸਕਟੌਪ ਦੇ ਸਕ੍ਰੀਨ ਕੈਪਚਰ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੰਦੀ ਹੈ। ਹਮਲਾਵਰ ਗਾਹਕ ਨਾਲ ਕੀ-ਬੋਰਡ ਦੀ ਹੇਰਾਫੇਰੀ ਕਰਕੇ, ਬਟਨਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਕੇ, ਅਤੇ ਮਾਊਸ ਨੂੰ ਹਿਲਾ ਕੇ, ਉਹਨਾਂ ਨੂੰ ਡਿਵਾਈਸ ਦਾ ਪੂਰਾ ਰਿਮੋਟ ਕੰਟਰੋਲ ਦੇ ਕੇ ਗੱਲਬਾਤ ਕਰ ਸਕਦਾ ਹੈ।
hVNC ਦੁਆਰਾ ਦਿੱਤੀ ਗਈ ਪੂਰੀ ਪਹੁੰਚ ਦੇ ਨਾਲ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਈ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇ ਸਕਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ, ਡੇਟਾ ਚੋਰੀ ਕਰਨਾ, ਅਤੇ ਵਾਧੂ ਮਾਲਵੇਅਰ ਪੇਲੋਡ ਤਾਇਨਾਤ ਕਰਨਾ।
