Snake Keylogger Variant
ਸਨੇਕ ਕੀਲੌਗਰ ਦਾ ਇੱਕ ਨਵਾਂ ਰੂਪ ਚੀਨ, ਤੁਰਕੀ, ਇੰਡੋਨੇਸ਼ੀਆ, ਤਾਈਵਾਨ ਅਤੇ ਸਪੇਨ ਵਿੱਚ ਵਿੰਡੋਜ਼ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸ ਨਵੇਂ ਸੰਸਕਰਣ ਨੂੰ ਟਰੈਕ ਕੀਤਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਸਾਲ ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਲੈ ਕੇ ਹੁਣ ਤੱਕ ਦੁਨੀਆ ਭਰ ਵਿੱਚ 280 ਮਿਲੀਅਨ ਇਨਫੈਕਸ਼ਨ ਕੋਸ਼ਿਸ਼ਾਂ ਨਾਲ ਜੋੜਿਆ ਹੈ, ਜੋ ਇਸਦੇ ਵਿਆਪਕ ਪ੍ਰਭਾਵ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਫਿਸ਼ਿੰਗ ਟ੍ਰੈਪ: ਸੱਪ ਕੀਲੌਗਰ ਕਿਵੇਂ ਫੈਲਦਾ ਹੈ
ਸਨੇਕ ਕੀਲੌਗਰ ਲਈ ਮੁੱਖ ਡਿਲੀਵਰੀ ਵਿਧੀ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਹਿੰਦੀ ਹੈ ਜੋ ਧਮਕੀ ਭਰੇ ਅਟੈਚਮੈਂਟਾਂ ਜਾਂ ਲਿੰਕਾਂ ਨਾਲ ਭਰੀਆਂ ਹੁੰਦੀਆਂ ਹਨ। ਮਾਲਵੇਅਰ ਇਹਨਾਂ ਧੋਖੇਬਾਜ਼ ਈਮੇਲਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ ਤੋਂ ਬਾਅਦ ਅਣਜਾਣ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਸਿਸਟਮਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਲੈਂਦਾ ਹੈ। ਇਹ ਕ੍ਰੋਮ, ਐਜ ਅਤੇ ਫਾਇਰਫਾਕਸ ਵਰਗੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ। ਇਹ ਕੀਸਟ੍ਰੋਕ ਰਿਕਾਰਡ ਕਰਕੇ, ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਕੇ ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰਕੇ ਇਸਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
ਗੈਰ-ਰਵਾਇਤੀ ਚੈਨਲਾਂ ਰਾਹੀਂ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ
ਸਨੇਕ ਕੀਲੌਗਰ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਤੱਕ ਹੀ ਨਹੀਂ ਰੁਕਦਾ - ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਚੋਰੀ ਕੀਤਾ ਡੇਟਾ ਹਮਲਾਵਰਾਂ ਤੱਕ ਗੈਰ-ਰਵਾਇਤੀ ਚੈਨਲਾਂ ਰਾਹੀਂ ਪਹੁੰਚਦਾ ਹੈ। ਬਾਹਰ ਕੱਢੇ ਗਏ ਪ੍ਰਮਾਣ ਪੱਤਰ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਵੇਰਵੇ ਸਿੰਪਲ ਮੇਲ ਟ੍ਰਾਂਸਫਰ ਪ੍ਰੋਟੋਕੋਲ (SMTP) ਜਾਂ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟਾਂ ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇਹਨਾਂ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਮਾਲਵੇਅਰ ਕੁਝ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ, ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਸਰਵਰਾਂ ਤੱਕ ਚੋਰੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਦੇ ਨਿਰੰਤਰ ਪ੍ਰਵਾਹ ਨੂੰ ਬਣਾਈ ਰੱਖਦਾ ਹੈ।
ਆਟੋਇਟ: ਇੱਕ ਚਲਾਕ ਚੋਰੀ ਤਕਨੀਕ
ਹਮਲਿਆਂ ਦੀ ਇਸ ਨਵੀਂ ਲਹਿਰ ਨੂੰ ਜੋ ਚੀਜ਼ ਵੱਖਰਾ ਕਰਦੀ ਹੈ ਉਹ ਹੈ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਆਟੋਇਟ ਸਕ੍ਰਿਪਟਿੰਗ ਭਾਸ਼ਾ ਦੀ ਵਰਤੋਂ। ਮਾਲਵੇਅਰ ਇੱਕ ਆਟੋਇਟ-ਕੰਪਾਈਲਡ ਬਾਈਨਰੀ ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਰਵਾਇਤੀ ਖੋਜ ਵਿਧੀਆਂ ਤੋਂ ਬਚ ਸਕਦਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਨਾ ਸਿਰਫ਼ ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਨੂੰ ਵਧੇਰੇ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਉਂਦੀ ਹੈ ਬਲਕਿ ਗਤੀਸ਼ੀਲ ਵਿਵਹਾਰ ਨੂੰ ਵੀ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ ਜੋ ਜਾਇਜ਼ ਆਟੋਮੇਸ਼ਨ ਟੂਲਸ ਦੀ ਨੇੜਿਓਂ ਨਕਲ ਕਰਦੀ ਹੈ, ਇਸਦੀ ਮੌਜੂਦਗੀ ਨੂੰ ਹੋਰ ਛੁਪਾਉਂਦੀ ਹੈ।
ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨਾ
ਇੱਕ ਵਾਰ ਚਲਾਉਣ ਤੋਂ ਬਾਅਦ, Snake Keylogger ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਸੰਕਰਮਿਤ ਸਿਸਟਮ 'ਤੇ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿੰਦਾ ਹੈ। ਇਹ '%Local_AppData%\supergroup' ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ 'ageless.exe' ਦੇ ਰੂਪ ਵਿੱਚ ਆਪਣੀ ਇੱਕ ਕਾਪੀ ਛੱਡਦਾ ਹੈ। ਆਪਣੀ ਜਕੜ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ, ਇਹ Windows Startup ਫੋਲਡਰ ਵਿੱਚ 'ageless.vbs' ਨਾਮ ਦੀ ਇੱਕ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ (VBS) ਫਾਈਲ ਵੀ ਰੱਖਦਾ ਹੈ। ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਹਰ ਵਾਰ ਜਦੋਂ ਸਿਸਟਮ ਰੀਬੂਟ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਆਪਣੇ ਆਪ ਮੁੜ ਚਾਲੂ ਹੋ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਜਾਰੀ ਰਹਿੰਦਾ ਹੈ ਭਾਵੇਂ ਇਸਦੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਬੰਦ ਹੋ ਜਾਣ।
ਪ੍ਰਕਿਰਿਆ ਖੋਖਲੀ: ਸਾਦੀ ਨਜ਼ਰ ਵਿੱਚ ਲੁਕਣਾ
ਹਮਲੇ ਦੇ ਆਖਰੀ ਪੜਾਅ ਵਿੱਚ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਨੂੰ ਇੱਕ ਜਾਇਜ਼ .NET ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਜਿਵੇਂ ਕਿ 'regsvcs.exe', ਇੱਕ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਜਿਸਨੂੰ ਪ੍ਰੋਸੈਸ ਹੋਲੋਇੰਗ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਨਾਲ, ਸਨੇਕ ਕੀਲੌਗਰ ਇੱਕ ਭਰੋਸੇਯੋਗ ਪ੍ਰਕਿਰਿਆ ਦੇ ਆੜ ਵਿੱਚ ਕੰਮ ਕਰਨ ਦੇ ਯੋਗ ਹੁੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਸਦਾ ਪਤਾ ਲਗਾਉਣਾ ਕਾਫ਼ੀ ਜ਼ਿਆਦਾ ਚੁਣੌਤੀਪੂਰਨ ਹੋ ਜਾਂਦਾ ਹੈ।
ਕੀਸਟ੍ਰੋਕਸ ਨੂੰ ਲੌਗ ਕਰਨਾ ਅਤੇ ਪੀੜਤਾਂ ਨੂੰ ਟਰੈਕ ਕਰਨਾ
ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ ਤੋਂ ਇਲਾਵਾ, ਸਨੇਕ ਕੀਲੌਗਰ ਕੀਸਟ੍ਰੋਕ ਨੂੰ ਲੌਗ ਕਰਕੇ ਉਪਭੋਗਤਾ ਗਤੀਵਿਧੀ ਦੀ ਵੀ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ। ਇਹ WH_KEYBOARD_LL ਫਲੈਗ (ਫਲੈਗ 13) ਦੇ ਨਾਲ SetWindowsHookEx API ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ, ਇੱਕ ਘੱਟ-ਪੱਧਰੀ ਕੀਬੋਰਡ ਹੁੱਕ ਜੋ ਕੀਸਟ੍ਰੋਕ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਵਿਧੀ ਇਸਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਇਨਪੁਟ ਨੂੰ ਰਿਕਾਰਡ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਬੈਂਕਿੰਗ ਵੇਰਵੇ ਅਤੇ ਪਾਸਵਰਡ ਸ਼ਾਮਲ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਪੀੜਤ ਦੇ IP ਪਤੇ ਅਤੇ ਭੂ-ਸਥਾਨ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ checkip.dyndns.org ਵਰਗੀਆਂ ਬਾਹਰੀ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਹੋਰ ਵਧਾਉਂਦਾ ਹੈ।
ਇੱਕ ਨਿਰੰਤਰ ਅਤੇ ਵਿਕਸਤ ਹੁੰਦਾ ਖ਼ਤਰਾ
ਸਨੇਕ ਕੀਲੌਗਰ ਦਾ ਪੁਨਰ-ਉਭਾਰ ਸਾਈਬਰ ਖਤਰਿਆਂ ਦੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਸੁਭਾਅ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਆਟੋਇਟ ਸਕ੍ਰਿਪਟਿੰਗ ਅਤੇ ਪ੍ਰੋਸੈਸ ਹੋਲੋਇੰਗ ਵਰਗੀਆਂ ਨਵੀਆਂ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਇਹ ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ ਸਿਸਟਮਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦੇ ਹੋਏ ਖੋਜ ਤੋਂ ਬਚਦਾ ਰਹਿੰਦਾ ਹੈ। ਇਸ ਦੇ ਤਰੀਕਿਆਂ ਬਾਰੇ ਜਾਣੂ ਰਹਿਣਾ ਅਤੇ ਈਮੇਲਾਂ ਨੂੰ ਸੰਭਾਲਦੇ ਸਮੇਂ ਸਾਵਧਾਨੀ ਵਰਤਣਾ ਇਸ ਲਗਾਤਾਰ ਖਤਰੇ ਨਾਲ ਜੁੜੇ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ।
