ਨਾਈਟ੍ਰੋਜਨ ਮਾਲਵੇਅਰ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਐਕਸੈਸ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸਨੂੰ ਉਹ 'ਨਾਈਟ੍ਰੋਜਨ' ਵਜੋਂ ਟਰੈਕ ਕਰ ਰਹੇ ਹਨ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਨਕਲੀ ਸਾਫਟਵੇਅਰ ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਬੇਲੋੜੇ ਪੀੜਤਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੇ ਤਰੀਕੇ ਵਜੋਂ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਲਈ Google ਅਤੇ Bing ਖੋਜ ਵਿਗਿਆਪਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। ਜਿਹੜੇ ਉਪਭੋਗਤਾ ਇਹਨਾਂ ਸਾਈਟਾਂ 'ਤੇ ਜਾਂਦੇ ਹਨ, ਉਹ ਅਣਜਾਣੇ ਵਿੱਚ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡ ਦੀ ਤੈਨਾਤੀ ਦਾ ਸ਼ਿਕਾਰ ਹੁੰਦੇ ਹਨ।
ਨਾਈਟ੍ਰੋਜਨ ਮਾਲਵੇਅਰ ਦੇ ਪਿੱਛੇ ਮੁੱਖ ਉਦੇਸ਼ ਕਾਰਪੋਰੇਟ ਨੈਟਵਰਕਾਂ ਵਿੱਚ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਸ਼ੁਰੂਆਤੀ ਐਂਟਰੀ ਪੁਆਇੰਟ ਪ੍ਰਦਾਨ ਕਰਨਾ ਹੈ। ਇੱਕ ਵਾਰ ਘੁਸਪੈਠ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਖਤਰਨਾਕ ਐਕਟਰ ਡਾਟਾ ਚੋਰੀ ਕਰਨ, ਸਾਈਬਰ ਜਾਸੂਸੀ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ, ਅਤੇ ਅੰਤ ਵਿੱਚ ਵਿਨਾਸ਼ਕਾਰੀ ਬਲੈਕਕੈਟ/ਏਐਲਪੀਐਚਵੀ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਜਾਰੀ ਕਰਨ ਦੀ ਯੋਗਤਾ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ।
ਨਾਈਟ੍ਰੋਜਨ ਮੁਹਿੰਮ ਦੇ ਇੱਕ ਡੂੰਘਾਈ ਨਾਲ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਇਸਦੇ ਪ੍ਰਾਇਮਰੀ ਟੀਚਿਆਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ, ਜੋ ਮੁੱਖ ਤੌਰ 'ਤੇ ਉੱਤਰੀ ਅਮਰੀਕਾ ਵਿੱਚ ਸਥਿਤ ਤਕਨਾਲੋਜੀ ਅਤੇ ਗੈਰ-ਮੁਨਾਫ਼ਾ ਸੰਗਠਨਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ। ਹਮਲਾਵਰ AnyDesk, Cisco AnyConnect VPN, TreeSize Free ਅਤੇ WinSCP ਵਰਗੇ ਨਾਮਵਰ ਸਾਫਟਵੇਅਰ ਪ੍ਰਦਾਤਾਵਾਂ ਦੀ ਨਕਲ ਕਰਕੇ ਆਪਣੀ ਸਕੀਮ ਨੂੰ ਲਾਗੂ ਕਰਦੇ ਹਨ। ਇਹ ਧੋਖਾ ਦੇਣ ਵਾਲੀ ਚਾਲ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਹ ਵਿਸ਼ਵਾਸ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੰਦੀ ਹੈ ਕਿ ਉਹ ਅਸਲ ਸੌਫਟਵੇਅਰ ਤੱਕ ਪਹੁੰਚ ਕਰ ਰਹੇ ਹਨ, ਸਿਰਫ ਇਸ ਦੀ ਬਜਾਏ ਨਾਈਟ੍ਰੋਜਨ ਮਾਲਵੇਅਰ ਦੇ ਖ਼ਤਰਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨ ਲਈ।
ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ Google ਅਤੇ Bing ਖੋਜ ਵਿਗਿਆਪਨਾਂ ਦੀ ਵਰਤੋਂ ਸੂਝ ਦੀ ਇੱਕ ਵਾਧੂ ਪਰਤ ਜੋੜਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਪੂਲ ਤੱਕ ਪਹੁੰਚਣ ਦੇ ਯੋਗ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹਨਾਂ ਪ੍ਰਸਿੱਧ ਖੋਜ ਇੰਜਣਾਂ ਦਾ ਲਾਭ ਉਠਾ ਕੇ, ਹਮਲਾਵਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੇ ਸੌਫਟਵੇਅਰ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਭਰਮਾਉਣ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ, ਇਸ ਤਰ੍ਹਾਂ ਖਤਰਨਾਕ ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ।
ਨਾਈਟ੍ਰੋਜਨ ਮਾਲਵੇਅਰ ਖਾਸ ਭੂਗੋਲਿਕ ਸਥਾਨਾਂ ਤੋਂ ਪੀੜਤਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ
ਨਾਈਟ੍ਰੋਜਨ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਉਦੋਂ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਦੋਂ ਉਪਭੋਗਤਾ ਵੱਖ-ਵੱਖ ਮਸ਼ਹੂਰ ਸੌਫਟਵੇਅਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ Google ਜਾਂ Bing ਖੋਜ ਕਰਦੇ ਹਨ। ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਦਾਣਾ ਵਜੋਂ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਸੌਫਟਵੇਅਰਾਂ ਵਿੱਚ AnyDesk (ਇੱਕ ਰਿਮੋਟ ਡੈਸਕਟਾਪ ਐਪਲੀਕੇਸ਼ਨ), WinSCP (ਵਿੰਡੋਜ਼ ਲਈ ਇੱਕ SFTP/FTP ਕਲਾਇੰਟ), Cisco AnyConnect (ਇੱਕ VPN ਸੂਟ) ਅਤੇ TreeSize Free (ਇੱਕ ਡਿਸਕ-ਸਪੇਸ ਕੈਲਕੁਲੇਟਰ ਅਤੇ ਮੈਨੇਜਰ) ਹਨ। ਸੌਫਟਵੇਅਰ ਲਾਲਚਾਂ ਦੀ ਚੋਣ ਹਮਲਾਵਰਾਂ ਦੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਮਾਪਦੰਡ 'ਤੇ ਅਧਾਰਤ ਹੈ।
ਜਦੋਂ ਕੋਈ ਉਪਭੋਗਤਾ ਇਹਨਾਂ ਵਿੱਚੋਂ ਕਿਸੇ ਵੀ ਸੌਫਟਵੇਅਰ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ, ਤਾਂ ਸੰਬੰਧਿਤ ਖੋਜ ਇੰਜਣ ਇੱਕ ਇਸ਼ਤਿਹਾਰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜੋ ਸਹੀ ਸਾਫਟਵੇਅਰ ਉਤਪਾਦ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਦਾ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ। ਅਣਜਾਣੇ ਵਿੱਚ, ਉਪਭੋਗਤਾ ਲੋੜੀਂਦੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ ਦੀ ਉਮੀਦ ਵਿੱਚ, ਇਹਨਾਂ ਪ੍ਰਤੀਤ ਹੋਣ ਵਾਲੇ ਜਾਇਜ਼ ਵਿਗਿਆਪਨਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰ ਸਕਦੇ ਹਨ।
ਹਾਲਾਂਕਿ, ਅਸਲ ਵੈਬਸਾਈਟ 'ਤੇ ਪਹੁੰਚਣ ਦੀ ਬਜਾਏ, ਲਿੰਕ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਵਰਡਪਰੈਸ ਹੋਸਟਿੰਗ ਪੰਨਿਆਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਪੰਨਿਆਂ ਨੂੰ ਕੁਸ਼ਲਤਾ ਨਾਲ ਸਵਾਲ ਵਿੱਚ ਵਿਸ਼ੇਸ਼ ਐਪਲੀਕੇਸ਼ਨ ਲਈ ਅਧਿਕਾਰਤ ਡਾਊਨਲੋਡ ਸਾਈਟਾਂ ਦੀ ਦਿੱਖ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਹਾਲਾਂਕਿ, ਹਰ ਕਿਸੇ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਨਹੀਂ ਲਿਜਾਇਆ ਜਾਂਦਾ ਹੈ। ਸਿਰਫ਼ ਖਾਸ ਭੂਗੋਲਿਕ ਖੇਤਰਾਂ ਦੇ ਵਿਜ਼ਿਟਰਾਂ ਨੂੰ ਚੁਣੇ ਹੋਏ ਖੇਤਰਾਂ ਤੋਂ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਣ ਦੀ ਉੱਚ ਸੰਭਾਵਨਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ, ਫਿਸ਼ਿੰਗ ਸਾਈਟਾਂ 'ਤੇ ਚੋਣਵੇਂ ਤੌਰ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਕੋਈ ਇਸ਼ਤਿਹਾਰ ਰਾਹੀਂ ਉੱਥੇ ਲਿਜਾਏ ਜਾਣ ਦੀ ਬਜਾਏ ਉਹਨਾਂ ਦੇ ਲਿੰਕ ਨੂੰ ਸਿੱਧਾ ਖੋਲ੍ਹ ਕੇ ਪੰਨਿਆਂ ਤੱਕ ਪਹੁੰਚਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਤਾਂ ਉਹਨਾਂ ਨੂੰ ਰਿਕ ਐਸਟਲੀ ਦੇ ਕਲਾਸਿਕ 'ਨੇਵਰ ਗੋਨਾ ਗਿਵ ਯੂ ਅੱਪ' ਦੇ ਇੱਕ YouTube ਵੀਡੀਓ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਵੇਗਾ - ਇੱਕ ਚਾਲ ਜਿਸ ਨੂੰ ਰਿਕ-ਰੋਲਿੰਗ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਨਾਈਟ੍ਰੋਜਨ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਨੂੰ ਰੈਨਸਮਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ
ਜਾਅਲੀ ਸਾਈਟਾਂ ਤੋਂ ਡਿਲੀਵਰ ਕੀਤੇ ਗਏ ਧਮਕੀ ਭਰੇ ਸੌਫਟਵੇਅਰ 'install.exe' ਨਾਮਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ISO ਇੰਸਟੌਲਰ ਦੇ ਰੂਪ ਵਿੱਚ ਆਉਂਦੇ ਹਨ ਜੋ ਇੱਕ ਖਰਾਬ DLL ਫਾਈਲ 'msi.dll' (NitrogenInstaller) ਨੂੰ ਲੈ ਜਾਂਦੇ ਹਨ ਅਤੇ ਫਿਰ ਸਾਈਡਲੋਡ ਕਰਦੇ ਹਨ। ਇਹ ਨਾਈਟ੍ਰੋਜਨ ਮਾਲਵੇਅਰ ਲਈ ਇੰਸਟਾਲਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਪੀੜਤਾਂ ਤੋਂ ਕੋਈ ਵੀ ਸ਼ੱਕ ਪੈਦਾ ਕਰਨ ਤੋਂ ਬਚਣ ਲਈ ਵਾਅਦਾ ਕੀਤੀ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਵੀ ਸੈੱਟ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਇੱਕ 'ਪਾਈਥਨ' ਰਜਿਸਟਰੀ ਰਨ ਕੁੰਜੀ ਬਣਾ ਕੇ ਇੱਕ ਸਥਿਰਤਾ ਵਿਧੀ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਜੋ ਪੰਜ ਮਿੰਟ ਦੇ ਅੰਤਰਾਲ 'ਤੇ ਚੱਲਦਾ ਹੈ ਅਤੇ 'pythonw.exe' ਨਾਮਕ ਇੱਕ ਖਤਰਨਾਕ ਬਾਈਨਰੀ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ।
ਮਾਲਵੇਅਰ ਦਾ ਪਾਈਥਨ ਕੰਪੋਨੈਂਟ, ਜਿਸ ਨੂੰ 'python.311.dll' (NitrogenStager) ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਹੈਕਰਾਂ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ (C2) ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਦਾ ਜ਼ਿੰਮਾ ਲੈਂਦਾ ਹੈ। ਇਹ ਪੀੜਤ ਦੇ ਕੰਪਿਊਟਰ 'ਤੇ ਮੀਟਰਪ੍ਰੇਟਰ ਸ਼ੈੱਲ ਅਤੇ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਬੀਕਨ ਵੀ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।
ਕੁਝ ਮੌਕਿਆਂ 'ਤੇ, ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਸਿਸਟਮਾਂ 'ਤੇ ਮੀਟਰਪ੍ਰੇਟਰ ਸਕ੍ਰਿਪਟ ਦੇ ਲਾਗੂ ਹੋਣ ਤੋਂ ਬਾਅਦ ਹਮਲਾਵਰ ਹੱਥ-ਪੈਰ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰਦੇ ਹਨ। ਉਹ ਵਾਧੂ ਜ਼ਿਪ ਫਾਈਲਾਂ ਅਤੇ ਪਾਈਥਨ 3 ਵਾਤਾਵਰਨ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਮੈਨੂਅਲ ਕਮਾਂਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਮੈਮੋਰੀ ਵਿੱਚ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਨੂੰ ਚਲਾਉਣ ਲਈ ਜ਼ਰੂਰੀ ਹਨ, ਕਿਉਂਕਿ ਨਾਈਟ੍ਰੋਜਨਸਟੈਜਰ ਖੁਦ ਪਾਈਥਨ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਲਾਗੂ ਨਹੀਂ ਕਰ ਸਕਦਾ ਹੈ। ਨਾਈਟ੍ਰੋਜਨ ਮਾਲਵੇਅਰ ਦੀ ਸੰਕਰਮਣ ਲੜੀ ਅੰਤਮ ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡਾਂ ਦੀ ਤੈਨਾਤੀ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸਟੇਜਿੰਗ ਕਰਨ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੀ ਹੈ।
