रिमोट एक्सेस टूल्स, या शॉर्ट के लिए आरएटी, एक बड़ा खतरा बना हुआ है। मालवेयरबाइट्स ने हाल ही में एजेंट टेस्ला के आसपास एक नाइजीरियाई स्कैमर समूह का पर्दाफाश किया है। सौभाग्य से समूह के साथ काम करने वाले कोई पूर्णकालिक पेशेवर नहीं थे: उन्होंने परीक्षण ईमेल भेजे और इस तरह अपना आईपी पता प्रकट किया।
डेटा चोर "एजेंट टेस्ला" एक रिमोट एक्सेस टूल (RAT) है जो 2014 से सक्रिय है और अब यह सबसे लोकप्रिय दुर्भावनापूर्ण फ़ाइलों में से एक है जिसे ईमेल स्पैम अभियानों में देखा जा सकता है। यूक्रेन को लक्षित खतरों की खोज में, मालवेयरबाइट्स ने एक नए समूह की पहचान की है जो कई वर्षों से फ़िशिंग और डेटा चोरी के अन्य रूपों में भारी रूप से शामिल है। इसके पीछे विडंबना यह है कि मुख्य खतरे वाले अभिनेताओं में से एक ने एजेंट टेस्ला बाइनरी के साथ अपने कंप्यूटर को भी संक्रमित कर दिया था।
लगभग 1 लाख लॉगिन क्रेडेंशियल चोरी हो गए
स्कैमर की गतिविधियां कुछ साल पहले क्लासिक एडवांस पेमेंट फ्रॉड (419 फ्रॉड) के साथ शुरू हुई थीं। इस बीच, स्कैमर सफलतापूर्वक एजेंट टेस्ला अभियान चला रहा है। पिछले दो वर्षों में, वह इस तरह अपने पीड़ितों से लगभग एक लाख लॉगिन क्रेडेंशियल्स चुराने में सफल रहा है।
एजेंट टेस्ला के साथ एक ईमेल अभियान ने एक यूक्रेनी ईमेल का उपयोग करते हुए मालवेयरबाइट्स को स्कैमर्स को ट्रैक करने के लिए प्रेरित किया। मालवेयरबाइट्स थ्रेट इंटेलिजेंस टीम की जांच यूक्रेनी में Остаточний платіж.msg नामक एक ईमेल से शुरू हुई, जिसका अनुवाद फाइनल पेमेंट.msg के रूप में होता है। ईमेल में एक फ़ाइल-साझाकरण साइट का एक लिंक था, जिसने एक निष्पादन योग्य संग्रह को डाउनलोड किया था - जो स्कैमर के निशान तक खतरे की खुफिया टीम का नेतृत्व करता था।
निष्पादन योग्य वास्तव में एक दुर्भावनापूर्ण एजेंट टेस्ला स्टीलर है। यह विभिन्न तरीकों से डेटा को एक्सफिल्टर करने में सक्षम है। इसके पीछे की तकनीक काफी सरल है: इसके लिए केवल एक ईमेल खाते की आवश्यकता होती है जो प्रत्येक पीड़ित की चोरी की गई साख के साथ स्वयं को संदेश भेजता है।
टेस्ट संदेशों से हमलावर का आईपी पता पता चलता है
हमलावर ने एक ही खाते से "परीक्षण सफल!" संदेशों की एक श्रृंखला भेजी. यह ज्ञात है कि हमलावर आमतौर पर ऐसे संदेशों का उपयोग यह जांचने के लिए करते हैं कि एजेंट टेस्ला के साथ संचार ठीक से कॉन्फ़िगर किया गया है या नहीं। हालाँकि, स्पष्ट कारणों से ई-मेल को बाद में हटा दिया जाना चाहिए था। हालांकि धमकी देने वाले अभिनेता ने इस मामले में ऐसा नहीं किया। ऐसा करने में, उसने अपना आईपी पता प्रकट किया और मालवेयरबाइट्स नाइजीरिया के लागोस में पता लगाने में सक्षम था। मालवेयरबाइट्स ने इसलिए खोजे गए स्कैमर समूह को "नाइजीरियाई टेस्ला" नाम दिया।
अन्य 26 ईमेल उसी आईपी पते से भेजे गए थे, जो परीक्षण ईमेल नहीं थे, लेकिन एक वास्तविक एजेंट टेस्ला निष्पादन से आए थे। इस प्रकार हमलावर अपने स्वयं के कंप्यूटर को भी संक्रमित करने में सफल रहा।
हमलावर अलग-अलग नामों और ईमेल खातों के तहत काम करता है
उदाहरण के लिए, अपने पिछले फ़िशिंग और डेटा चोरी के संचालन में, हमलावर ने "25" स्ट्रिंग वाले 1985 से अधिक विभिन्न ईमेल खातों और पासवर्ड के साथ रीटा बेंट, ली चेन और जॉन कूपर नामों का उपयोग किया है। प्रोफाइल की भीड़ से, यह देखा जा सकता है कि खतरे वाले अभिनेता का एक व्यापक कैरियर रहा है जो कम से कम 2014 में शुरू हुआ था। उस समय वह रीटा बेंट के नाम से क्लासिक घोटाले चला रहा था।
एडोब लॉगिन पेजों की आड़ में समूह द्वारा समर्थित एक और घोटाला फ़िशिंग था। मालवेयरबाइट्स सुरक्षा शोधकर्ताओं के पास 2015 से हाल तक तैनात किए गए कई नकली एडोब लैंडिंग पृष्ठों के रिकॉर्ड हैं।
डेटा हमलों के पीछे कौन है?
नाइजीरिया में स्थित आईपी पते के पीछे ईके नाम का एक आदमी है। वास्तव में, धमकी देने वाले इस अभिनेता ने अभी भी 2016 में खुद की तस्वीरें साझा की थीं। उसके ड्राइविंग लाइसेंस की एक तस्वीर भी ट्रैक की गई थी। इससे पता चलता है कि उनका जन्म 1985 में हुआ था। आखिर कैसे फिट बैठती है तस्वीर: जिन ई-मेल खातों से अवैध गतिविधियों को अंजाम दिया जाता था, उनके कई पासवर्ड में जन्म वर्ष 1985 का इस्तेमाल किया जाता था।
स्कैमर समूह के अन्य सदस्यों के बारे में वर्तमान में बहुत कम जानकारी है। हालांकि, ईके की सबसे महत्वपूर्ण भूमिका है और कम से कम वह है जो मूल रूप से नाइजीरियाई टेस्ला को जीवन में लाया।
नाइजीरियाई टेस्ला ने लगभग 800.000 पीड़ितों से कुल 28.000 से अधिक विभिन्न प्रमाण-पत्र चुरा लिए। इससे पता चलता है कि इस प्रकार के अभियान कितने सरल लेकिन प्रभावी हो सकते हैं। ईके का मामला एक खतरनाक अभिनेता के एक दिलचस्प विकास को भी दर्शाता है जिसने अंततः मैलवेयर वितरण की दुनिया में जाने से पहले क्लासिक अग्रिम शुल्क घोटाला (419 घोटाला) किया था। मालवेयरबाइट्स उपयोगकर्ता एजेंट टेस्ला से सुरक्षित हैं। हमलावर की पहचान स्पाइवेयर.पासवर्ड.स्टीलर के रूप में हुई है।
Malwarebytes.com पर अधिक
मालवेयरबाइट्स के बारे में मालवेयरबाइट्स घरेलू उपयोगकर्ताओं और व्यवसायों को खतरनाक खतरों, रैनसमवेयर और ऐसे कारनामों से बचाता है जिनका एंटीवायरस प्रोग्राम पता नहीं लगा पाते। निजी उपयोगकर्ताओं और कंपनियों के लिए आधुनिक साइबर सुरक्षा खतरों को टालने के लिए मालवेयरबाइट्स अन्य एंटीवायरस समाधानों को पूरी तरह से बदल देता है। 60.000 से अधिक कंपनियां और लाखों उपयोगकर्ता मालवेयरबाइट के अभिनव मशीन लर्निंग सॉल्यूशंस और इसके सुरक्षा शोधकर्ताओं पर भरोसा करते हैं ताकि उभरते खतरों को टाला जा सके और मैलवेयर को खत्म किया जा सके जो पुराने सुरक्षा समाधानों को याद करते हैं। अधिक जानकारी के लिए www.malwarebytes.com पर जाएं।