நைட்ரஜன் மால்வேர்
'நைட்ரஜன்' எனக் கண்காணிக்கும் ஆரம்ப அணுகல் மால்வேர் பிரச்சாரத்தை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். சந்தேகத்திற்கு இடமில்லாத பாதிக்கப்பட்டவர்களுக்கு தொற்று ஏற்படுவதற்கான ஒரு வழியாக போலி மென்பொருள் வலைத்தளங்களை விளம்பரப்படுத்த சைபர் கிரைமினல்கள் Google மற்றும் Bing தேடல் விளம்பரங்களைப் பயன்படுத்துகின்றனர். இந்த தளங்களைப் பார்வையிடும் பயனர்கள், அச்சுறுத்தும் கோபால்ட் ஸ்ட்ரைக் மற்றும் ransomware பேலோடுகளின் வரிசைப்படுத்தலுக்குத் தெரியாமல் பலியாகின்றனர்.
நைட்ரஜன் தீம்பொருளின் பின்னணியில் உள்ள முக்கிய நோக்கம், கார்ப்பரேட் நெட்வொர்க்குகளில் அச்சுறுத்தல் நடிகர்களுக்கு ஆரம்ப நுழைவுப் புள்ளியை வழங்குவதாகும். ஊடுருவியவுடன், தீங்கிழைக்கும் நடிகர்கள் தரவுத் திருட்டைச் செயல்படுத்தும் திறனைப் பெறுகிறார்கள், இணைய உளவு நடவடிக்கையில் ஈடுபடுகிறார்கள், இறுதியில் அழிவுகரமான BlackCat/ALPHV Ransomware ஐ கட்டவிழ்த்துவிடுகிறார்கள்.
நைட்ரஜன் பிரச்சாரத்தின் ஆழமான பகுப்பாய்வு அதன் முதன்மை இலக்குகளை வெளிப்படுத்தியுள்ளது, இது முக்கியமாக வட அமெரிக்காவில் உள்ள தொழில்நுட்பம் மற்றும் இலாப நோக்கற்ற நிறுவனங்களை உள்ளடக்கியது. AnyDesk, Cisco AnyConnect VPN, TreeSize Free மற்றும் WinSCP போன்ற புகழ்பெற்ற மென்பொருள் வழங்குநர்களைப் போல ஆள்மாறாட்டம் செய்வதன் மூலம் தாக்குபவர்கள் தங்கள் திட்டத்தைச் செயல்படுத்துகிறார்கள். இந்த ஏமாற்றும் தந்திரோபாயம் பயனர்களை அவர்கள் உண்மையான மென்பொருளை அணுகுவதாக நம்ப வைக்கிறது, மாறாக நைட்ரஜன் தீம்பொருளின் ஆபத்துகளுக்கு மட்டுமே அவர்கள் ஆளாகிறார்கள்.
இந்த பிரச்சாரத்தில் கூகுள் மற்றும் பிங் தேடல் விளம்பரங்களைப் பயன்படுத்துவது கூடுதல் அதிநவீனத்தை சேர்க்கிறது, இது அச்சுறுத்தல் நடிகர்கள் சாத்தியமான பாதிக்கப்பட்டவர்களின் பரந்த தொகுப்பை அடைய உதவுகிறது. இந்த பிரபலமான தேடுபொறிகளைப் பயன்படுத்துவதன் மூலம், மோசடி செய்பவர்கள், மோசடியான மென்பொருள் இணைப்புகளைக் கிளிக் செய்வதன் மூலம் பயனர்களை கவர்ந்திழுக்கும் வாய்ப்பை அதிகரிக்கிறார்கள், இதனால் தீங்கிழைக்கும் தொற்று செயல்முறையைத் தொடங்குகிறது.
நைட்ரஜன் மால்வேர் குறிப்பிட்ட புவியியல் இடங்களிலிருந்து பாதிக்கப்பட்டவர்களை குறிவைக்கிறது
பயனர்கள் பல்வேறு நன்கு அறியப்பட்ட மென்பொருள் பயன்பாடுகளுக்காக கூகுள் அல்லது பிங் தேடலை மேற்கொள்ளும்போது நைட்ரஜன் மால்வேர் பிரச்சாரம் தொடங்குகிறது. இந்த பிரச்சாரத்தில் தூண்டில் பயன்படுத்தப்படும் மென்பொருள்களில் AnyDesk (ஒரு தொலைநிலை டெஸ்க்டாப் பயன்பாடு), WinSCP (விண்டோஸிற்கான SFTP/FTP கிளையன்ட்), Cisco AnyConnect (ஒரு VPN தொகுப்பு) மற்றும் TreeSize Free (ஒரு வட்டு-வெளி கால்குலேட்டர் மற்றும் மேலாளர்). மென்பொருள் கவர்ச்சியைத் தேர்ந்தெடுப்பது தாக்குபவர்களின் இலக்கு அளவுகோல்களின் அடிப்படையில் அமைந்துள்ளது.
ஒரு பயனர் இந்த மென்பொருள் பயன்பாடுகளில் ஏதேனும் ஒன்றைத் தேடும்போது, அந்தந்த தேடுபொறியானது சரியான மென்பொருள் தயாரிப்பை விளம்பரப்படுத்தத் தோன்றும் விளம்பரத்தைக் காட்டுகிறது. அறியாமல், பயனர்கள் விரும்பிய மென்பொருளைப் பதிவிறக்க நம்பிக்கையுடன், இந்த வெளித்தோற்றத்தில் முறையான விளம்பரங்களைக் கிளிக் செய்யலாம்.
இருப்பினும், உண்மையான வலைத்தளத்தை அடைவதற்குப் பதிலாக, இந்த இணைப்பு பார்வையாளர்களை சமரசம் செய்யப்பட்ட WordPress ஹோஸ்டிங் பக்கங்களுக்கு திருப்பி விடுகிறது. கேள்விக்குரிய குறிப்பிட்ட பயன்பாட்டிற்கான அதிகாரப்பூர்வ பதிவிறக்க தளங்களின் தோற்றத்தைப் பிரதிபலிக்கும் வகையில் இந்தப் பக்கங்கள் திறமையாக வடிவமைக்கப்பட்டுள்ளன.
இருப்பினும், அனைவரும் பாதுகாப்பற்ற இணையதளங்களுக்கு அழைத்துச் செல்லப்படுவதில்லை. குறிப்பிட்ட புவியியல் பகுதிகளைச் சேர்ந்த பார்வையாளர்கள் மட்டுமே தேர்ந்தெடுக்கப்பட்ட ஃபிஷிங் தளங்களுக்குத் திருப்பிவிடப்படுகின்றனர், இது தேர்ந்தெடுக்கப்பட்ட பகுதிகளில் இருந்து சாத்தியமான பாதிக்கப்பட்டவர்களைக் கவர்வதற்கான அதிக வாய்ப்பை உறுதி செய்கிறது. யாரேனும் ஒரு விளம்பரத்தின் மூலம் தங்கள் இணைப்பைத் திறப்பதன் மூலம் பக்கங்களை அடைய முயற்சித்தால், அவர்கள் ரிக் ஆஸ்ட்லியின் கிளாசிக் 'நெவர் கோனா கிவ் யூ அப்' YouTube வீடியோவிற்கு திருப்பி விடப்படுவார்கள் - இது ரிக்-ரோலிங் என அழைக்கப்படுகிறது.
ரான்சம்வேரை சமரசம் செய்யப்பட்ட சாதனங்களுக்கு வழங்க நைட்ரஜன் மால்வேர் பயன்படுத்தப்படலாம்
போலி தளங்களில் இருந்து வழங்கப்படும் அச்சுறுத்தும் மென்பொருள், 'install.exe' என்ற பெயரிடப்பட்ட ட்ரோஜனேற்றப்பட்ட ISO நிறுவிகளின் வடிவத்தில் வருகிறது, அது சிதைந்த DLL கோப்பை 'msi.dll' (NitrogenInstaller) எடுத்துச் செல்கிறது. இது நைட்ரஜன் மால்வேரின் நிறுவியாக செயல்படுகிறது. கூடுதலாக, பாதிக்கப்பட்டவர்களிடமிருந்து எந்த சந்தேகத்தையும் எழுப்புவதைத் தவிர்ப்பதற்காக வாக்குறுதியளிக்கப்பட்ட விண்ணப்பத்தையும் இது அமைக்கிறது. தீம்பொருள் ஐந்து நிமிட இடைவெளியில் இயங்கும் 'பைதான்' ரெஜிஸ்ட்ரி ரன் விசையை உருவாக்கி, 'pythonw.exe' என்ற தீங்கிழைக்கும் பைனரியை நோக்கிச் செல்லும்.
தீம்பொருளின் பைதான் கூறு, 'python.311.dll' (NitrogenStager), ஹேக்கர்களின் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் (C2) தொடர்பை நிறுவும் பொறுப்பை ஏற்கிறது. இது பாதிக்கப்பட்டவரின் கணினியில் ஒரு மீட்டர்ப்ரெட்டர் ஷெல் மற்றும் கோபால்ட் ஸ்ட்ரைக் பீக்கான்களையும் தொடங்குகிறது.
சில சந்தர்ப்பங்களில், இலக்கு அமைப்புகளில் Meterpreter ஸ்கிரிப்ட் செயல்படுத்தப்பட்டவுடன், தாக்குபவர்கள் செயலில் ஈடுபடுவார்கள். நைட்ரஜன்ஸ்டேஜரால் பைதான் ஸ்கிரிப்ட்களை இயக்க முடியாது என்பதால், கூடுதல் ஜிப் கோப்புகள் மற்றும் பைதான் 3 சூழல்களை மீட்டெடுக்க அவை கைமுறை கட்டளைகளைப் பயன்படுத்துகின்றன. நைட்ரஜன் மால்வேரின் தொற்றுச் சங்கிலியானது, இறுதி ransomware பேலோடுகளை வரிசைப்படுத்துவதற்காக சமரசம் செய்யப்பட்ட சாதனங்களை நிலைநிறுத்துவதைச் சுட்டிக்காட்டுகிறது.
