इमोटेट, डार्कगेट और लोकीबॉट संक्रमण रणनीति

20. अगस्त 2023
| कोई टिप्पणी नहीं
बी2बी साइबर सुरक्षा लघु समाचार

शेयर पोस्ट

कैस्परस्की के विश्लेषण से मैलवेयर उपभेदों द्वारा उपयोग की जाने वाली जटिल संक्रमण रणनीति का पता चलता है। इसके अनुसार, प्रसिद्ध बॉटनेट इमोटेट वापस रिपोर्ट करने और कंपनियों पर हमला करने के लिए OneNote फ़ाइलों के माध्यम से एक नए संक्रमण मार्ग का उपयोग कर रहा है; इसके अलावा, लोडर डार्कगेट को कई नई सुविधाओं से लैस किया गया है और लोकीबॉट एक्सेल अटैचमेंट के साथ फ़िशिंग ईमेल में कार्गो जहाज कंपनियों को लक्षित करता है।

कैस्परस्की की नवीनतम रिपोर्ट डार्कगेट, इमोटेट और लोकीबॉट मैलवेयर द्वारा उपयोग की जाने वाली वर्तमान परिष्कृत संक्रमण रणनीति का खुलासा करती है। डार्कगेट का अद्वितीय एन्क्रिप्शन और इमोटेट की मजबूत वापसी और लोकीबॉट के चल रहे कारनामे लगातार विकसित हो रहे साइबर सुरक्षा परिदृश्य की आवश्यकता को रेखांकित करते हैं।

इमोटेट दुर्भावनापूर्ण स्क्रिप्ट चलाने के लिए OneNote फ़ाइल का उपयोग करता है

2021 में कुख्यात बॉटनेट इमोटेट के बंद होने के बाद, कैस्परस्की ने अब नए सिरे से गतिविधि देखी है। वर्तमान अभियान में, उपयोगकर्ता अनजाने में एक दुर्भावनापूर्ण OneNote फ़ाइल खोलने के बाद एक छिपे हुए और प्रच्छन्न VBScript के निष्पादन को ट्रिगर करते हैं। तब स्क्रिप्ट विभिन्न वेबसाइटों से एक दुर्भावनापूर्ण पेलोड डाउनलोड करने का प्रयास करती है जब तक कि सिस्टम में सफलतापूर्वक घुसपैठ नहीं हो जाती। उसके बाद, इमोटेट अस्थायी निर्देशिका में एक डीएलएल डालता है और उसे चलाता है। इस डीएलएल में छिपे हुए कमांड या शेलकोड और एन्क्रिप्टेड आयात फ़ंक्शन शामिल हैं। संसाधन अनुभाग से एक विशिष्ट फ़ाइल को डिक्रिप्ट करके, इमोटेट बढ़त हासिल कर लेता है और अंततः अपने दुर्भावनापूर्ण पेलोड को निष्पादित करता है।

डार्कगेट: सामान्य डाउनलोडर कार्यों से कहीं अधिक

जून 2023 में, कैस्परस्की विशेषज्ञों ने नए लोडर 'डार्कगेट' की खोज की, जो विभिन्न प्रकार के कार्यों से सुसज्जित है जो सामान्य डाउनलोडर कार्यों से परे हैं। इनमें छिपा हुआ वर्चुअल नेटवर्क कंप्यूटिंग (वीएनसी), विंडोज डिफेंडर को अक्षम करना, ब्राउज़र इतिहास चोरी करना, रिवर्स प्रॉक्सी, अनधिकृत फ़ाइल प्रबंधन और डिस्कॉर्ड टोकन टैप करना शामिल है। डार्कगेट एक चार-चरण श्रृंखला के माध्यम से काम करता है जिसे डार्कगेट की लोडिंग के लिए डिज़ाइन किया गया है। लोडर अपने एन्क्रिप्शन प्रकार में दूसरों से भिन्न होता है, जिसमें वैयक्तिकृत कुंजियों के साथ वर्ण स्ट्रिंग और बेस 64 एन्कोडिंग का एक अनुकूलित संस्करण शामिल होता है जो एक विशेष वर्ण सेट का उपयोग करता है।

लोकीबॉट एक्सेल अटैचमेंट का उपयोग करके कार्गो जहाज कंपनियों को लक्षित करता है

इसके अतिरिक्त, कैस्परस्की ने लोकीबॉट का उपयोग करके मालवाहक जहाज कंपनियों को लक्षित करने वाले एक फ़िशिंग अभियान की खोज की। पहली बार 2016 में पहचाना गया, लोकीबॉट एक इन्फोस्टीलर है जिसका उपयोग साइबर अपराधी ब्राउज़र और एफ़टीपी क्लाइंट सहित विभिन्न अनुप्रयोगों से लॉगिन क्रेडेंशियल चुराने के लिए करते हैं। इस अभियान ने एक्सेल अनुलग्नक के साथ ईमेल भेजकर उपयोगकर्ताओं से मैक्रोज़ सक्षम करने के लिए कहा। ऐसा करने के लिए, हमलावरों ने Microsoft Office में एक ज्ञात भेद्यता (CVE-2017-0199) का फायदा उठाया, जिसके कारण RTF दस्तावेज़ डाउनलोड हुआ। यह आरटीएफ दस्तावेज़ लोकीबॉट मैलवेयर को इंजेक्ट करने और चलाने के लिए एक अन्य भेद्यता (सीवीई-2017-11882) का उपयोग करता है।

कैस्परस्की की ग्लोबल रिसर्च एंड एनालिसिस टीम (GReAT) के वरिष्ठ सुरक्षा शोधकर्ता जोर्न्ट वैन डेर विएल ने कहा, "इमोटेट की वापसी, लोकीबॉट की निरंतर उपस्थिति और डार्कगेट का उद्भव एक अनुस्मारक है कि साइबर खतरे लगातार विकसित हो रहे हैं।" “चूंकि ये दुर्भावनापूर्ण प्रोग्राम संक्रमण के नए तरीकों को अनुकूलित और विकसित करते हैं, इसलिए व्यक्तियों और व्यवसायों दोनों के लिए सतर्क रहना और मजबूत साइबर सुरक्षा समाधानों में निवेश करना महत्वपूर्ण है। हमारे चल रहे अनुसंधान और इन मैलवेयर उपभेदों की खोज लगातार विकसित हो रहे साइबर खतरों से बचाने के लिए सक्रिय सुरक्षा उपायों के महत्व को रेखांकित करती है।

Kaspersky.com पर अधिक

 

Kaspersky के बारे में

Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी

 

विषय से संबंधित लेख

रिपोर्ट: दुनिया भर में 40 प्रतिशत अधिक फ़िशिंग

2023 के लिए कास्परस्की की वर्तमान स्पैम और फ़िशिंग रिपोर्ट स्वयं कहती है: जर्मनी में उपयोगकर्ता इसके पीछे हैं ➡ और अधिक पढ़ें

बीएसआई वेब ब्राउज़र के लिए न्यूनतम मानक निर्धारित करता है

बीएसआई ने प्रशासन के लिए वेब ब्राउज़र के लिए न्यूनतम मानक को संशोधित किया है और संस्करण 3.0 प्रकाशित किया है। आप उसे याद रख सकते हैं ➡ और अधिक पढ़ें

स्टील्थ मैलवेयर यूरोपीय कंपनियों को निशाना बनाता है

हैकर्स यूरोप भर में कई कंपनियों पर गुप्त मैलवेयर से हमला कर रहे हैं। ईएसईटी शोधकर्ताओं ने तथाकथित ऐसक्रिप्टर हमलों में नाटकीय वृद्धि की सूचना दी है ➡ और अधिक पढ़ें

आईटी सुरक्षा: लॉकबिट 4.0 के लिए आधार निष्क्रिय

यूके की राष्ट्रीय अपराध एजेंसी (एनसीए) के साथ काम करते हुए ट्रेंड माइक्रो ने उस अप्रकाशित संस्करण का विश्लेषण किया जो विकास में था ➡ और अधिक पढ़ें

गूगल वर्कस्पेस के माध्यम से एमडीआर और एक्सडीआर

चाहे कैफे हो, हवाईअड्डा टर्मिनल हो या गृह कार्यालय - कर्मचारी कई जगहों पर काम करते हैं। हालाँकि, यह विकास चुनौतियाँ भी लाता है ➡ और अधिक पढ़ें

परीक्षण: एंडपॉइंट और व्यक्तिगत पीसी के लिए सुरक्षा सॉफ्टवेयर

एवी-टेस्ट प्रयोगशाला के नवीनतम परीक्षण परिणाम विंडोज़ के लिए 16 स्थापित सुरक्षा समाधानों का बहुत अच्छा प्रदर्शन दिखाते हैं ➡ और अधिक पढ़ें

एफबीआई: इंटरनेट अपराध रिपोर्ट में 12,5 अरब डॉलर की क्षति का अनुमान लगाया गया है 

एफबीआई के इंटरनेट अपराध शिकायत केंद्र (IC3) ने अपनी 2023 इंटरनेट अपराध रिपोर्ट जारी की है, जिसमें 880.000 से अधिक की जानकारी शामिल है ➡ और अधिक पढ़ें

हेडक्रैब 2.0 की खोज की गई

रेडिस सर्वर के खिलाफ हेडक्रैब अभियान, जो 2021 से सक्रिय है, नए संस्करण के साथ लक्ष्यों को सफलतापूर्वक संक्रमित करना जारी रखता है। अपराधियों का मिनी ब्लॉग ➡ और अधिक पढ़ें

लघु समाचार
, , , , , ,