மல்டி-லைசென்ஸ் தள்ளுபடி மேற்கோள்
அச்சுறுத்தல் தரவுத்தளம் தீம்பொருள் வாட்ஸ்அப் தீம்பொருள் பிரச்சாரம்

வாட்ஸ்அப் தீம்பொருள் பிரச்சாரம்

தீம்பொருள் இல் Mezo இல்
இதற்கு மொழிபெயர்க்கவும்:

சைபர் குற்றவாளிகள், வாட்ஸ்அப் நேரடிச் செய்திகளைப் பயன்படுத்தி, தீங்கிழைக்கும் விஷுவல் பேசிக் ஸ்கிரிப்ட் (VBScript) கோப்புகளைப் பரப்பி வருகின்றனர். இந்தக் கோப்புகள், பாதிக்கப்பட்ட கணினிகளில் முறையான ரிமோட் மானிட்டரிங் அண்ட் மேனேஜ்மென்ட் (RMM) மென்பொருளை நிறுவுகின்றன. மலேசியா, பிரேசில், இந்தியா, மெக்சிகோ, சிங்கப்பூர், ஐக்கிய இராச்சியம், ஸ்பெயின், தைவான், ஆஸ்திரேலியா, ரஷ்யா மற்றும் வியட்நாம் உள்ளிட்ட பல நாடுகளில் உள்ள வாட்ஸ்அப் டெஸ்க்டாப் மற்றும் வாட்ஸ்அப் வெப் பயனர்களை இந்தத் தாக்குதல் குறிவைத்துள்ளது. இதில், மலேசியாவில் பாதிக்கப்பட்ட பயனர்களின் எண்ணிக்கை மிக அதிகமாகப் பதிவாகியுள்ளது.

தாக்குதல் நடத்தியவர்கள் பல வாட்ஸ்அப் கணக்குகளை அனுமதியின்றி அணுகி, பின்னர் அந்த கணக்குகளைப் பயன்படுத்தி, அவர்களது தொடர்புப் பட்டியலில் உள்ளவர்களுக்குத் தீங்கிழைக்கும் கோப்புகளை அனுப்பியிருக்கலாம் என ஆராய்ச்சியாளர்கள் சந்தேகிக்கின்றனர். இருப்பினும், இந்தக் கணக்குகளைக் கைப்பற்றப் பயன்படுத்தப்பட்ட சரியான முறை இன்னும் அறியப்படவில்லை.

வணிக ஆவணங்கள் போல் மாறுவேடமிட்ட

தாக்குதல் நடத்துபவர்கள், பாதிக்கப்பட்டவர்களை தீங்கிழைக்கும் கோப்புகளைத் திறக்கச் சம்மதிக்க வைக்க சமூகப் பொறியியலை நம்பியிருக்கிறார்கள். VBScript இணைப்புகள், முறையான வணிக மற்றும் நிதி ஆவணங்களைப் போல மாறுவேடமிடப்பட்டு, 'Financial Reports.vbs' மற்றும் 'Account Statement.vbs' போன்ற நம்பத்தகுந்த கோப்புப் பெயர்களைப் பயன்படுத்துகின்றன. இந்தத் தாக்குதலின் சர்வதேசப் பரவலை ஆதரிப்பதற்காக, சில கோப்புகள் போர்த்துகீசியம், பிரெஞ்சு, ஜெர்மன் மற்றும் மலாய் உள்ளிட்ட மொழிகளிலும் தோன்றுகின்றன.

இந்த ஸ்கிரிப்டுகள் மிகவும் தெளிவற்றவையாக உள்ளன, மேலும் உண்மையான மைக்ரோசாஃப்ட் விண்டோஸ் அப்டேட் கூறுகளைப் போல பாசாங்கு செய்யும் வகையில் வடிவமைக்கப்பட்ட விரிவான கருத்துரைகளையும் மெட்டாடேட்டாவையும் கொண்டுள்ளன. ஏராளமான கருத்துரைகள் சீன மொழியில் எழுதப்பட்டு, பின்வரும் செயல்பாடுகளைக் குறிப்பிடுகின்றன:

  • விண்டோஸ் புதுப்பிப்பு தொகுதிகள்
  • சான்றிதழ் சரிபார்ப்பு நடைமுறைகள்
  • அமைப்பு ஒருமைப்பாட்டுச் சோதனைகள்
  • வரிசைப்படுத்தல் தொடர்பான செயல்முறைகள்

இந்தக் கூறுகள், கோப்புகளைச் சட்டப்பூர்வமானவை போலக் காட்டவும், பாதுகாப்புப் பகுப்பாய்வைத் தடுக்கவும் நோக்கம் கொண்டுள்ளன.

பல-கட்ட தொற்றுச் சங்கிலி தொலைநிலை அணுகலைச் சாத்தியமாக்குகிறது

'WScript.exe' மூலம் செயல்படுத்தப்பட்டவுடன், அந்தத் தீங்கிழைக்கும் VBScript, கூடுதல் VBScript கூறுகளைப் பதிவிறக்கி இயக்குவதன் மூலம் ஒரு பல-கட்டத் தொற்றுச் செயல்முறையைத் தொடங்குகிறது. ஆரம்ப ஸ்கிரிப்ட்டின் முதன்மை நோக்கம், ஒரு தொலைநிலை சேவையகத்திலிருந்து இரண்டு இரண்டாம் நிலை பேலோடுகளைப் பெறுவதாகும். ஒரு பேலோடு, விண்டோஸ் பயனர் கணக்குக் கட்டுப்பாட்டின் (UAC) செயல்பாட்டைக் கையாள முயற்சிக்கிறது, மற்றொன்று ManageEngine RMM Central-க்கான நிறுவல் தொகுப்பைக் கொண்ட ஒரு ZIP காப்பகத்தைப் பதிவிறக்கி இயக்குகிறது.

முறையான RMM மென்பொருளை வெற்றிகரமாக நிறுவுவது, தாக்குதல் நடத்துபவர்களுக்கு தொலைநிலை அணுகல் திறன்களை வழங்கி, பாதிக்கப்பட்டவரின் கணினி அமைப்பைக் கட்டுப்படுத்த அவர்களை அனுமதிக்கிறது.

வாட்ஸ்அப் வெப் மற்றும் டெஸ்க்டாப்பில் வெவ்வேறு செயல்பாட்டுப் பாதைகள்

பயன்படுத்தப்படும் வாட்ஸ்அப் தளத்தைப் பொறுத்து, தொற்று பரவும் முறை மாறுபடுகிறது. வாட்ஸ்அப் வெப்பில், பாதிக்கப்பட்டவர்கள் ஒரு கோப்பை உண்மையான ஆவணம் என்று நம்பி, பதிவிறக்கங்கள் கோப்புறையிலிருந்தோ அல்லது உலாவி வரலாற்றிலிருந்தோ அதை கைமுறையாகத் திறக்க வேண்டியுள்ளது.

இதற்கு மாறாக, வாட்ஸ்அப் டெஸ்க்டாப் செயலியானது, தீம்பொருளை கிளையன்ட் சூழலிலேயே நேரடியாகச் செயல்பட அனுமதிக்கிறது. செயல்முறைப் பகுப்பாய்வின்படி, அந்தச் செயலியின் பின்னணிச் செயல்முறையான 'WhatsApp.Root.exe' ஆனது 'WScript.exe'-ஐத் தொடங்குவதற்குக் காரணமாக உள்ளது என்றும், அதுவே பின்னர் தீங்கிழைக்கும் தொடர் நிகழ்வுகளைத் தொடங்குகிறது என்றும் தெரியவந்துள்ளது.

முந்தைய தீம்பொருள் செயல்பாடுகளுடன் சாத்தியமான தொடர்புகள்

இந்தச் செயல்பாடு ஒரு குறிப்பிட்ட அச்சுறுத்திக் குழுவுடன் அதிகாரப்பூர்வமாக இணைக்கப்படவில்லை என்றாலும், Gh0st RAT மற்றும் ValleyRAT தீம்பொருள் குடும்பங்களுடன் தொடர்புடைய முந்தைய தீங்கிழைக்கும் செயல்பாடுகளுடன் இதன் உள்கட்டமைப்பு ஒற்றுமைகளை புலனாய்வாளர்கள் கண்டறிந்துள்ளனர். இந்த ஒற்றுமைகள், இந்தச் செயல்பாடு முந்தைய இணையக் குற்றச் செயல்களுடன் வளங்களையோ அல்லது தந்திரங்களையோ பகிர்ந்து கொள்ளக்கூடும் என்று சுட்டிக்காட்டுகின்றன.

வாட்ஸ்அப் பயனர்களுக்கான அத்தியாவசிய முன்னெச்சரிக்கைகள்

நம்பகமான தொடர்புகளிடமிருந்து செய்திகள் வந்ததாகத் தோன்றினாலும், வாட்ஸ்அப் மூலம் எதிர்பாராத இணைப்புகளைப் பெறும்போது பயனர்கள் எச்சரிக்கையாக இருக்குமாறு பாதுகாப்பு வல்லுநர்கள் அறிவுறுத்துகின்றனர். பின்வரும் கோப்பு வகைகளின் நம்பகத்தன்மை சுயாதீனமாக உறுதிப்படுத்தப்பட்டாலன்றி, அவற்றை ஒருபோதும் திறக்கக் கூடாது:

  • VBS மற்றும் VBE ஸ்கிரிப்ட் கோப்புகள்
  • EXE, BAT, மற்றும் CMD போன்ற இயக்கக்கூடிய கோப்புகள்
  • JS மற்றும் PS1 உள்ளிட்ட ஸ்கிரிப்ட் அடிப்படையிலான வடிவங்கள்

நம்பகமான தகவல் தொடர்புத் தளங்களைச் சுரண்டும் தீம்பொருள் தாக்குதல்களுக்கு எதிரான மிகவும் பயனுள்ள பாதுகாப்பு வழிகளில் ஒன்றாக, இணைப்புகளைத் திறப்பதற்கு முன் அவற்றைச் சரிபார்ப்பது விளங்குகிறது.

ஏற்றுகிறது...