SilentRoute Trojan

ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਇੱਕ ਵਾਰ ਫਿਰ ਭਰੋਸੇਯੋਗ ਸਾਫਟਵੇਅਰ ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਣ ਦਾ ਤਰੀਕਾ ਲੱਭ ਲਿਆ ਹੈ, ਇਸ ਵਾਰ SSL VPN NetExtender ਦਾ ਇੱਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੰਸਕਰਣ ਬਣਾ ਕੇ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪਰਦਾਫਾਸ਼ ਕੀਤੀ ਗਈ ਇਹ ਹਮਲਾ ਮੁਹਿੰਮ, ਰਿਮੋਟ ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਦੀ ਮੰਗ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਇੱਕ ਗੰਭੀਰ ਖ਼ਤਰਾ ਪੈਦਾ ਕਰਦੀ ਹੈ।

ਭੇਸ ਵਿੱਚ ਟਰੋਜਨ

ਇਸ ਮੁਹਿੰਮ ਦੇ ਕੇਂਦਰ ਵਿੱਚ SSL VPN NetExtender ਕਲਾਇੰਟ ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਹੈ, ਇੱਕ ਜਾਇਜ਼ ਟੂਲ ਜੋ ਰਿਮੋਟ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਨੈੱਟਵਰਕਾਂ ਨਾਲ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਜੁੜਨ ਦੀ ਆਗਿਆ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਅੰਦਰੂਨੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਚਲਾਉਣ, ਸ਼ੇਅਰਡ ਡਰਾਈਵਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਉਹ ਕੰਪਨੀ ਨੈੱਟਵਰਕ 'ਤੇ ਸਰੀਰਕ ਤੌਰ 'ਤੇ ਮੌਜੂਦ ਹੋਣ।

ਬਦਕਿਸਮਤੀ ਨਾਲ, ਇੱਕ ਅਣਜਾਣ ਧਮਕੀ ਸਮੂਹ ਇਸ ਸਾਫਟਵੇਅਰ ਦੇ ਇੱਕ ਨਕਲੀ ਸੰਸਕਰਣ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰ ਰਿਹਾ ਹੈ, ਇਸ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦਾ ਇੰਜੈਕਸ਼ਨ ਲਗਾ ਰਿਹਾ ਹੈ ਜਿਸਨੂੰ SilentRoute ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਇੰਸਟਾਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਠੱਗ ਸੰਸਕਰਣ ਚੁੱਪਚਾਪ ਉਪਭੋਗਤਾ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਚੋਰੀ ਕਰ ਲੈਂਦਾ ਹੈ।

ਹਮਲਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

ਹਮਲਾਵਰ ਇੱਕ ਜਾਅਲੀ ਵੈੱਬਸਾਈਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਖਤਰਨਾਕ NetExtender ਇੰਸਟਾਲਰ ਨੂੰ ਹੋਸਟ ਕਰ ਰਹੇ ਹਨ, ਜੋ ਕਿ ਜਾਇਜ਼ ਵਰਜਨ 10.3.2.27 ਦੇ ਰੂਪ ਵਿੱਚ ਹੈ। ਹਾਲਾਂਕਿ ਵੈੱਬਸਾਈਟ ਨੂੰ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਪਰ ਇਹ ਇੰਸਟਾਲਰ ਸਿਟੀਲਾਈਟ ਮੀਡੀਆ ਪ੍ਰਾਈਵੇਟ ਲਿਮਟਿਡ ਦੁਆਰਾ ਡਿਜੀਟਲੀ ਦਸਤਖਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਇਸਨੂੰ ਜਾਇਜ਼ਤਾ ਦਾ ਝੂਠਾ ਅਹਿਸਾਸ ਹੋ ਰਿਹਾ ਹੈ।

ਪੀੜਤਾਂ ਨੂੰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇਹਨਾਂ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਲੁਭਾਇਆ ਜਾ ਰਿਹਾ ਹੈ:

• SEO ਜ਼ਹਿਰ ਰਾਹੀਂ ਖੋਜ ਨਤੀਜਿਆਂ ਵਿੱਚ ਦਿਖਾਈ ਦੇਣ ਵਾਲੀਆਂ ਨਕਲੀ ਵੈੱਬਸਾਈਟਾਂ
• ਖਤਰਨਾਕ ਲਿੰਕਾਂ ਵਾਲੇ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲ
• ਗਲਤ ਪ੍ਰਚਾਰ ਮੁਹਿੰਮਾਂ ਅਤੇ ਗੁੰਮਰਾਹਕੁੰਨ ਸੋਸ਼ਲ ਮੀਡੀਆ ਪੋਸਟਾਂ

ਇੱਕ ਵਾਰ ਡਾਊਨਲੋਡ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਖਤਰਨਾਕ ਇੰਸਟੌਲਰ ਦੋ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸਿਆਂ, NeService.exe ਅਤੇ NetExtender.exe ਦੇ ਸੋਧੇ ਹੋਏ ਸੰਸਕਰਣਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਡਿਜੀਟਲ ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਨ ਲਈ ਬਦਲਿਆ ਗਿਆ ਹੈ। ਇਹ ਹਿੱਸੇ ਚੁੱਪਚਾਪ ਸੰਰਚਨਾ ਡੇਟਾ ਨੂੰ 132.196.198.163:8080 'ਤੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰ 'ਤੇ ਐਕਸਫਿਲਟ ਕਰਦੇ ਹਨ।

ਕੀ ਚੋਰੀ ਹੁੰਦਾ ਹੈ ਅਤੇ ਕਿਵੇਂ

ਜਦੋਂ ਉਪਭੋਗਤਾ ਆਪਣੇ VPN ਪ੍ਰਮਾਣ ਪੱਤਰ ਦਾਖਲ ਕਰਦਾ ਹੈ ਅਤੇ 'ਕਨੈਕਟ' ਬਟਨ ਨੂੰ ਦਬਾਉਂਦਾ ਹੈ, ਤਾਂ ਟ੍ਰੋਜਨ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਹਮਲਾਵਰ ਦੇ ਸਰਵਰ ਤੇ ਭੇਜਣ ਤੋਂ ਪਹਿਲਾਂ ਆਪਣੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਬਾਹਰ ਕੱਢੀ ਗਈ ਜਾਣਕਾਰੀ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਯੂਜ਼ਰਨੇਮ
• ਪਾਸਵਰਡ
• ਡੋਮੇਨ
• VPN ਸਰਵਰ ਵੇਰਵੇ ਅਤੇ ਸੰਰਚਨਾ ਡੇਟਾ

ਇਹ ਚੋਰੀ ਹੋਈ ਜਾਣਕਾਰੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਚਿੰਤਾ ਬਣ ਜਾਂਦੀ ਹੈ।

ਸੁਰੱਖਿਅਤ ਰਹਿਣ ਲਈ ਮੁੱਖ ਨੁਕਤੇ

ਅਜਿਹੇ ਖਤਰਿਆਂ ਦਾ ਸ਼ਿਕਾਰ ਹੋਣ ਤੋਂ ਬਚਣ ਲਈ, ਸੰਗਠਨਾਂ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਹ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ:

• ਸਿਰਫ਼ ਅਧਿਕਾਰਤ ਵੈੱਬਸਾਈਟਾਂ ਜਾਂ ਪ੍ਰਮਾਣਿਤ ਵਿਕਰੇਤਾਵਾਂ ਤੋਂ ਹੀ VPN ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲ ਡਾਊਨਲੋਡ ਕਰੋ।
• ਈਮੇਲਾਂ, ਇਸ਼ਤਿਹਾਰਾਂ, ਜਾਂ ਖੋਜ ਨਤੀਜਿਆਂ ਵਿੱਚ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਦੇ ਸਮੇਂ ਸਾਵਧਾਨ ਰਹੋ, ਖਾਸ ਕਰਕੇ ਉਹ ਲਿੰਕ ਜੋ ਸਾਫਟਵੇਅਰ ਡਾਊਨਲੋਡ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦੇ ਹਨ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਨੈੱਟਵਰਕ ਪ੍ਰਸ਼ਾਸਕਾਂ ਨੂੰ ਅਸਾਧਾਰਨ ਆਊਟਬਾਉਂਡ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ ਅਤੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਪ੍ਰਣਾਲੀਆਂ ਅੱਪ ਟੂ ਡੇਟ ਹਨ ਅਤੇ ਛੇੜਛਾੜ ਵਾਲੇ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ।

ਅੰਤਿਮ ਵਿਚਾਰ

ਸਾਈਲੈਂਟਰੂਟ ਮੁਹਿੰਮ ਨਕਲ ਅਤੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਵੰਡ ਦੀ ਵਧ ਰਹੀ ਸੂਝ-ਬੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਚੌਕਸੀ, ਮਜ਼ਬੂਤ ਡਿਜੀਟਲ ਸਫਾਈ ਦੇ ਨਾਲ, ਅਜਿਹੇ ਧੋਖੇਬਾਜ਼ ਖਤਰਿਆਂ ਦੇ ਵਿਰੁੱਧ ਸਭ ਤੋਂ ਵਧੀਆ ਬਚਾਅ ਬਣਿਆ ਹੋਇਆ ਹੈ।