నైట్రోజన్ మాల్వేర్
పరిశోధకులు 'నైట్రోజన్'గా ట్రాక్ చేస్తున్న ప్రారంభ యాక్సెస్ మాల్వేర్ ప్రచారాన్ని కనుగొన్నారు. నకిలీ సాఫ్ట్వేర్ వెబ్సైట్లను ప్రచారం చేసేందుకు సైబర్ నేరగాళ్లు గూగుల్ మరియు బింగ్ సెర్చ్ యాడ్స్ను ఉపయోగించుకుంటున్నారు. ఈ సైట్లను సందర్శించే వినియోగదారులు తెలియకుండానే బెదిరింపు కోబాల్ట్ స్ట్రైక్ మరియు ransomware పేలోడ్ల విస్తరణకు గురవుతారు.
నత్రజని మాల్వేర్ వెనుక ఉన్న ప్రధాన లక్ష్యం ముప్పు నటులకు కార్పొరేట్ నెట్వర్క్లలోకి ప్రారంభ ప్రవేశ స్థానం కల్పించడం. ఒకసారి చొరబడిన తర్వాత, హానికరమైన నటులు డేటా చౌర్యం, సైబర్స్పియోనేజ్లో పాల్గొనడం మరియు చివరికి విధ్వంసక BlackCat/ALPHV రాన్సమ్వేర్ను విడుదల చేయగల సామర్థ్యాన్ని పొందుతారు.
నైట్రోజన్ ప్రచారం యొక్క లోతైన విశ్లేషణ దాని ప్రాథమిక లక్ష్యాలను వెల్లడించింది, ఇది ప్రధానంగా ఉత్తర అమెరికాలో ఉన్న సాంకేతికత మరియు లాభాపేక్షలేని సంస్థలను కలిగి ఉంటుంది. దాడి చేసేవారు AnyDesk, Cisco AnyConnect VPN, TreeSize Free మరియు WinSCP వంటి ప్రసిద్ధ సాఫ్ట్వేర్ ప్రొవైడర్ల వలె నటించడం ద్వారా వారి పథకాన్ని అమలు చేస్తారు. ఈ మోసపూరిత వ్యూహం వినియోగదారులు తాము నిజమైన సాఫ్ట్వేర్ను యాక్సెస్ చేస్తున్నామని నమ్మేలా చేస్తుంది, బదులుగా నైట్రోజన్ మాల్వేర్ యొక్క ప్రమాదాలకు గురవుతుంది.
ఈ ప్రచారంలో Google మరియు Bing శోధన ప్రకటనల ఉపయోగం అధునాతనమైన అదనపు పొరను జోడిస్తుంది, ముప్పు నటులు సంభావ్య బాధితుల విస్తృత సమూహాన్ని చేరుకోవడానికి వీలు కల్పిస్తుంది. ఈ ప్రసిద్ధ శోధన ఇంజిన్లను ఉపయోగించడం ద్వారా, దాడి చేసేవారు మోసపూరిత సాఫ్ట్వేర్ లింక్లపై క్లిక్ చేయడానికి వినియోగదారులను ప్రలోభపెట్టే సంభావ్యతను పెంచుతారు, తద్వారా హానికరమైన ఇన్ఫెక్షన్ ప్రక్రియను ప్రారంభిస్తారు.
నైట్రోజన్ మాల్వేర్ నిర్దిష్ట భౌగోళిక స్థానాల నుండి బాధితులను లక్ష్యంగా చేసుకుంటుంది
వినియోగదారులు వివిధ ప్రసిద్ధ సాఫ్ట్వేర్ అప్లికేషన్ల కోసం Google లేదా Bing శోధనను నిర్వహించినప్పుడు నైట్రోజన్ మాల్వేర్ ప్రచారం ప్రారంభమవుతుంది. ఈ ప్రచారంలో ఎరగా ఉపయోగించిన సాఫ్ట్వేర్లలో AnyDesk (రిమోట్ డెస్క్టాప్ అప్లికేషన్), WinSCP (Windows కోసం ఒక SFTP/FTP క్లయింట్), Cisco AnyConnect (ఒక VPN సూట్) మరియు TreeSize Free (డిస్క్-స్పేస్ కాలిక్యులేటర్ మరియు మేనేజర్). సాఫ్ట్వేర్ ఎరల ఎంపిక దాడి చేసేవారి లక్ష్య ప్రమాణాలపై ఆధారపడి ఉంటుంది.
వినియోగదారు ఈ సాఫ్ట్వేర్ అప్లికేషన్లలో దేనినైనా శోధించినప్పుడు, సంబంధిత శోధన ఇంజిన్ ఖచ్చితమైన సాఫ్ట్వేర్ ఉత్పత్తిని ప్రోత్సహించడానికి కనిపించే ప్రకటనను ప్రదర్శిస్తుంది. తెలియకుండానే, వినియోగదారులు కోరుకున్న సాఫ్ట్వేర్ను డౌన్లోడ్ చేయాలనే ఆశతో ఈ అకారణంగా చట్టబద్ధమైన ప్రకటనలపై క్లిక్ చేయవచ్చు.
అయినప్పటికీ, నిజమైన వెబ్సైట్ను చేరుకోవడానికి బదులుగా, లింక్ సందర్శకులను రాజీపడిన WordPress హోస్టింగ్ పేజీలకు దారి మళ్లిస్తుంది. ప్రశ్నలోని నిర్దిష్ట అప్లికేషన్ కోసం అధికారిక డౌన్లోడ్ సైట్ల రూపాన్ని అనుకరించేలా ఈ పేజీలు నైపుణ్యంగా రూపొందించబడ్డాయి.
అయితే, ప్రతి ఒక్కరూ సురక్షితం కాని వెబ్సైట్లకు తీసుకెళ్లబడరు. నిర్దిష్ట భౌగోళిక ప్రాంతాల నుండి సందర్శకులు మాత్రమే ఫిషింగ్ సైట్లకు ఎంపిక చేయబడతారు, ఎంచుకున్న ప్రాంతాల నుండి సంభావ్య బాధితులను ఆకర్షించే అవకాశం ఎక్కువగా ఉంటుంది. ఎవరైనా ప్రకటన ద్వారా వారి లింక్ని నేరుగా తెరవడం ద్వారా పేజీలను చేరుకోవడానికి ప్రయత్నిస్తే, వారు రిక్ ఆస్ట్లీ యొక్క క్లాసిక్ 'నెవర్ గొన్న గివ్ యు అప్' యొక్క YouTube వీడియోకి దారి మళ్లించబడతారు - ఈ చర్యను రిక్-రోలింగ్ అని పిలుస్తారు.
రాజీపడిన పరికరాలకు Ransomwareని అందించడానికి నైట్రోజన్ మాల్వేర్ ఉపయోగించబడవచ్చు
నకిలీ సైట్ల నుండి డెలివరీ చేయబడిన బెదిరింపు సాఫ్ట్వేర్ 'install.exe' పేరుతో ట్రోజనైజ్ చేయబడిన ISO ఇన్స్టాలర్ల రూపంలో వస్తుంది, అది పాడైపోయిన DLL ఫైల్ 'msi.dll' (NitrogenInstaller)ని మోసుకెళ్లి, సైడ్లోడ్ చేస్తుంది. ఇది నైట్రోజన్ మాల్వేర్ కోసం ఇన్స్టాలర్గా పనిచేస్తుంది. అంతేకాకుండా, బాధితుల నుండి ఎలాంటి అనుమానాలు తలెత్తకుండా ఉండేందుకు వాగ్దానం చేసిన దరఖాస్తును కూడా ఏర్పాటు చేస్తుంది. మాల్వేర్ 'పైథాన్' రిజిస్ట్రీ రన్ కీని సృష్టించడం ద్వారా ఒక పెర్సిస్టెన్స్ మెకానిజంను ఏర్పాటు చేస్తుంది, అది ఐదు నిమిషాల వ్యవధిలో నడుస్తుంది మరియు 'pythonw.exe' అనే హానికరమైన బైనరీ వైపు చూపుతుంది.
'python.311.dll' (NitrogenStager) అని పిలువబడే మాల్వేర్ యొక్క పైథాన్ భాగం, హ్యాకర్ల కమాండ్-అండ్-కంట్రోల్ సర్వర్ (C2)తో కమ్యూనికేషన్ను ఏర్పాటు చేసే బాధ్యతను తీసుకుంటుంది. ఇది బాధితుడి కంప్యూటర్లో మీటర్ప్రెటర్ షెల్ మరియు కోబాల్ట్ స్ట్రైక్ బీకాన్లను కూడా ప్రారంభిస్తుంది.
కొన్ని సందర్భాల్లో, టార్గెటెడ్ సిస్టమ్లలో మీటర్ప్రెటర్ స్క్రిప్ట్ అమలు చేయబడిన తర్వాత దాడి చేసేవారు ప్రయోగాత్మక చర్యలలో పాల్గొంటారు. నైట్రోజెన్స్టేజర్ స్వయంగా పైథాన్ స్క్రిప్ట్లను అమలు చేయలేనందున, మెమరీలో కోబాల్ట్ స్ట్రైక్ను అమలు చేయడానికి అవసరమైన అదనపు జిప్ ఫైల్లు మరియు పైథాన్ 3 ఎన్విరాన్మెంట్లను తిరిగి పొందడానికి వారు మాన్యువల్ ఆదేశాలను ఉపయోగిస్తారు. నైట్రోజన్ మాల్వేర్ యొక్క ఇన్ఫెక్షన్ చైన్ తుది ransomware పేలోడ్ల విస్తరణ కోసం రాజీపడిన పరికరాలను ప్రదర్శించడాన్ని సూచిస్తుంది.