HTTPSnoop మాల్వేర్

మధ్యప్రాచ్యంలో టెలికమ్యూనికేషన్ సర్వీస్ ప్రొవైడర్లను లక్ష్యంగా చేసుకున్న సైబర్‌టాక్‌ల తరంగం, HTTPSnoop మరియు PipeSnoop అని పిలవబడే కొత్త మాల్వేర్ జాతుల విస్తరణతో ముడిపడి ఉంది. ఈ బెదిరింపు సాధనాలు రాజీపడిన పరికరాలపై రిమోట్ నియంత్రణను పొందేందుకు ముప్పు నటులను ఎనేబుల్ చేస్తాయి.

HTTP(S) URLల ద్వారా సోకిన ఎండ్‌పాయింట్‌లలో నిర్దిష్ట కంటెంట్‌ని అమలు చేయడానికి HTTPSnoop మాల్వేర్ Windows HTTP కెర్నల్ డ్రైవర్‌లు మరియు పరికరాలను ప్రభావితం చేస్తుంది. మరోవైపు, PipeSnoop పేరు పెట్టబడిన పైపు ద్వారా ఏకపక్ష షెల్‌కోడ్‌లను స్వీకరించడానికి మరియు అమలు చేయడానికి రూపొందించబడింది.

ఈ దాడి ప్రచారాన్ని విజయవంతంగా వెలికితీసిన సైబర్‌ సెక్యూరిటీ పరిశోధకులు విడుదల చేసిన నివేదిక ప్రకారం, HTTPSnoop మరియు PipeSnoop రెండూ ఒకే చొరబాటు సమూహానికి ఆపాదించబడ్డాయి, వీటిని 'ష్రూడెడ్‌స్నూపర్'గా గుర్తించారు. అయినప్పటికీ, రెండు బెదిరింపులు వాటి చొరబాటు స్థాయి పరంగా విభిన్న కార్యాచరణ ప్రయోజనాలను అందిస్తాయి.

HTTPSnoop మాల్వేర్ దాడి చేసేవారి కోసం ప్రత్యేక చర్యలను చేస్తుంది

HTTPSnoop సోకిన పరికరంలో HTTP(S) ట్రాఫిక్‌ను పర్యవేక్షించడానికి తక్కువ-స్థాయి Windows APIలను ఉపయోగిస్తుంది, ప్రత్యేకంగా ముందే నిర్వచించబడిన URLలను లక్ష్యంగా చేసుకుంటుంది. ఈ URLలను గుర్తించిన తర్వాత, మాల్వేర్ వాటి నుండి ఇన్‌కమింగ్ బేస్64-ఎన్‌కోడ్ చేసిన డేటాను డీకోడ్ చేస్తుంది మరియు దానిని రాజీపడిన హోస్ట్‌లో షెల్‌కోడ్‌గా అమలు చేస్తుంది.

DLL హైజాకింగ్ ద్వారా టార్గెట్ సిస్టమ్‌లో యాక్టివేట్ చేయబడిన ఈ అసురక్షిత ఇంప్లాంట్, రెండు కీలక భాగాలను కలిగి ఉంటుంది: మొదటిది, స్టేజ్ 2 షెల్‌కోడ్, కెర్నల్ కాల్‌ల ద్వారా బ్యాక్‌డోర్ వెబ్ సర్వర్‌ను సెటప్ చేయడానికి బాధ్యత వహిస్తుంది మరియు రెండవది, దాని కాన్ఫిగరేషన్.

HTTPSnoop ఒక లిజనింగ్ లూప్‌ను ఏర్పాటు చేస్తుంది, ఇన్‌కమింగ్ HTTP అభ్యర్థనల కోసం ఓపికగా వేచి ఉంది మరియు వారి రాకపై చెల్లుబాటు అయ్యే డేటాను సమర్థవంతంగా ప్రాసెస్ చేస్తుంది. ఇన్‌కమింగ్ డేటా చెల్లని సందర్భాల్లో, మాల్వేర్ HTTP 302 దారి మళ్లింపును అందిస్తుంది.

స్వీకరించిన షెల్‌కోడ్‌ని డీక్రిప్షన్ చేసిన తర్వాత, అది వెంటనే అమలు చేయబడుతుంది మరియు అమలు ఫలితాలు బేస్64-ఎన్‌కోడ్ చేసిన XOR-ఎన్‌కోడ్ డేటా బ్లాక్‌ల రూపంలో దాడి చేసేవారికి తిరిగి పంపబడతాయి.

అదనంగా, ఈ ఇంప్లాంట్ సర్వర్‌లో మునుపు కాన్ఫిగర్ చేసిన URLలతో వైరుధ్యాలను నివారించడానికి జాగ్రత్తలు తీసుకుంటుంది, అనుకోకుండా ఘర్షణలు లేకుండా సజావుగా పని చేస్తుంది.

నిపుణులు అనేక HTTPSnoop మాల్వేర్ వేరియంట్‌లను కనుగొన్నారు

HTTPSnoop యొక్క మూడు విభిన్న వైవిధ్యాలు ఇప్పటివరకు గమనించబడ్డాయి, ప్రతి ఒక్కటి ప్రత్యేకమైన URL శ్రవణ నమూనాలను ఉపయోగిస్తాయి. మొదటి వేరియంట్ సాధారణ HTTP URL-ఆధారిత అభ్యర్థనలను పర్యవేక్షిస్తుంది, రెండవ వేరియంట్ Microsoft Exchange వెబ్ సర్వీస్‌ను అనుకరించే URLలపై దృష్టి పెడుతుంది. మూడవ రూపాంతరం, అదే సమయంలో, OfficeCore యొక్క LBS/OfficeTrack మరియు టెలిఫోనీ అప్లికేషన్‌లను అనుకరించే URLలను లక్ష్యంగా చేసుకుంటుంది.

ఈ వేరియంట్‌లు ఏప్రిల్ 2023లో కనుగొనబడ్డాయి మరియు ముఖ్యంగా, అత్యంత ఇటీవలి దాని స్టెల్త్ సామర్థ్యాలను మెరుగుపరిచే అవకాశం ఉన్న అది పర్యవేక్షించే URLల సంఖ్యను తగ్గించింది.

Microsoft Exchange వెబ్ సేవలు మరియు OfficeTrackతో అనుబంధించబడిన చట్టబద్ధమైన URL నమూనాలను అనుకరించడం ద్వారా, ఈ మోసపూరిత అభ్యర్థనలు నిరపాయమైన ట్రాఫిక్‌ను పోలి ఉంటాయి, వాటిని చట్టబద్ధమైన అభ్యర్థనల నుండి వేరు చేయడం చాలా సవాలుగా ఉంటుంది.

మాల్వేర్ యొక్క ఎప్పటికప్పుడు అభివృద్ధి చెందుతున్న ప్రకృతి దృశ్యం మన డిజిటల్ యుగంలో భయంకరమైన మరియు నిరంతర ముప్పును కలిగిస్తుంది. మాల్వేర్ అనేది కేవలం విసుగు మాత్రమే కాదు, వ్యక్తులు, సంస్థలు మరియు దేశాలపై కూడా విధ్వంసం సృష్టించగల ఒక భయంకరమైన విరోధి. విజిలెన్స్, విద్య మరియు పటిష్టమైన సైబర్ సెక్యూరిటీ చర్యలు ఈ కనికరంలేని ముప్పు నుండి మా ఉత్తమ రక్షణ. ఆన్‌లైన్ భద్రతలో సమాచారం ఇవ్వడం మరియు ఉత్తమ పద్ధతులను అవలంబించడం కేవలం ఎంపిక కాదు; మన డిజిటల్ జీవితాలను కాపాడుకోవడంలో మరియు మన ఇంటర్‌కనెక్టడ్ ప్రపంచం యొక్క సమగ్రతను కాపాడుకోవడంలో ఇది చాలా అవసరం.