डेंजरस स्लीपर: इमोटेट नए आक्रमण वैक्टरों की खोज करता है

2021 में, इमोटेट के आसपास का नेटवर्क टूट गया। लेकिन इसका मतलब यह नहीं है कि इमोटेट वेब से पूरी तरह से गायब हो गया है। इसके विपरीत: हमेशा ऐसे संकेत मिलते हैं कि इमोटेट के आसपास का समूह हमले के नए रास्ते तलाश रहा है।

अपनी वापसी के बाद से, इमोटेट कई स्पैम अभियानों में दिखाई दिया है। बॉटनेट के पीछे हैकर समूह माइलबग ने कई नए मॉड्यूल विकसित किए हैं और मौजूदा मॉड्यूल को संशोधित किया है। इमोटेट के पीछे के मास्टरमाइंड ने दो साल पहले टेकडाउन से बहुत कुछ सीखा और अपने बॉटनेट को खोजे जाने से रोकने में बहुत समय लगाया।

इमोटेट का बुनियादी ढांचा ख़त्म हो गया है - मैलवेयर जीवित है

इसके आखिरी ऑपरेशन में इटली, स्पेन, जापान, मैक्सिको और दक्षिण अफ्रीका के ठिकानों पर हमला किया गया। अप्रैल 2023 से इमोटेट की गतिविधियों को निलंबित कर दिया गया है। ईएसईटी शोधकर्ताओं को संदेह है कि हैकर्स नए आक्रमण वैक्टर की तलाश में हैं।

“इमोटेट स्पैम ईमेल के माध्यम से फैलता है। मैलवेयर समझौता किए गए कंप्यूटरों से संवेदनशील जानकारी चुरा सकता है और उनमें तीसरे पक्ष के मैलवेयर को इंजेक्ट कर सकता है। इमोटेट के संचालक अपने लक्ष्यों के बारे में बहुत चुनिंदा नहीं हैं। वे अपने मैलवेयर को व्यक्तियों के साथ-साथ कंपनियों और बड़े संगठनों के सिस्टम पर भी इंस्टॉल करते हैं,'' ईएसईटी के शोधकर्ता जैकब कालोक कहते हैं, जिन्होंने विश्लेषण में मदद की।

इमोटेट को नया आक्रमण वेक्टर ढूंढना था

2021 के अंत से 2022 के मध्य तक, इमोटेट मुख्य रूप से माइक्रोसॉफ्ट वर्ड और एक्सेल दस्तावेजों में वीबीए मैक्रोज़ के माध्यम से फैल गया। जुलाई 2022 में, Microsoft ने इंटरनेट से खींचे गए दस्तावेज़ों में VBA मैक्रोज़ को अक्षम करके - Emotet और Qbot जैसे सभी मैलवेयर परिवारों के लिए गेम बदल दिया - जिन्होंने प्रचार विधि के रूप में दुर्भावनापूर्ण दस्तावेज़ों के साथ फ़िशिंग ईमेल का उपयोग किया था।

“इमोटेट के मुख्य आक्रमण वेक्टर के बंद होने से इसके ऑपरेटरों को अपने लक्ष्यों से समझौता करने के लिए नए तरीकों की तलाश करने के लिए प्रेरित किया गया। माइलबग ने दुर्भावनापूर्ण LNK और XLL फ़ाइलों के साथ प्रयोग करना शुरू किया। हालाँकि, जैसे ही 2022 करीब आया, इमोटेट ऑपरेटरों को वीबीए मैक्रोज़ के समान प्रभावी एक नया अटैक वेक्टर खोजने के लिए संघर्ष करना पड़ा। 2023 में, उन्होंने तीन अलग-अलग मैलस्पैम अभियान चलाए, जिनमें से प्रत्येक ने घुसपैठ के थोड़े अलग मार्ग और एक अलग सोशल इंजीनियरिंग तकनीक का परीक्षण किया,'' कालोक बताते हैं। "हालांकि, हमलों का सिकुड़ता दायरा और दृष्टिकोण में निरंतर परिवर्तन परिणामों से असंतोष का संकेत दे सकते हैं।" इमोटेट ने बाद में माइक्रोसॉफ्ट वननोट में एक डिकॉय एम्बेड किया। खोलने पर चेतावनियों के बावजूद कि इस कार्रवाई के परिणामस्वरूप दुर्भावनापूर्ण सामग्री हो सकती है, उपयोगकर्ताओं ने इस पर क्लिक किया।

अपराधी इमोटेट विकसित करना जारी रखते हैं

इसके पुनः प्रकट होने के बाद, इमोटेट को कई उन्नयन प्राप्त हुए। सबसे उल्लेखनीय विशेषताएं यह थीं कि बॉटनेट ने अपनी क्रिप्टोग्राफ़िक योजना को बदल दिया और अपने मॉड्यूल की सुरक्षा के लिए कई नए ओफ़्स्क्यूशन लागू किए। उनकी वापसी के बाद से, इमोटेट ऑपरेटरों ने अपने बॉटनेट की निगरानी और ट्रैक होने से रोकने के लिए महत्वपूर्ण प्रयास किए हैं। इसके अलावा, उन्होंने लाभदायक बने रहने के लिए कई नए मॉड्यूल लागू किए हैं और मौजूदा मॉड्यूल में सुधार किया है।

इमोटेट स्पैम ईमेल के माध्यम से वितरित किया जाता है। लोग अक्सर इन संदेशों पर भरोसा करते हैं क्योंकि अपराधी ईमेल में बातचीत के इतिहास को हाईजैक करने के लिए विशेष तकनीकों का सफलतापूर्वक उपयोग करते हैं। टेकडाउन से पहले, इमोटेट ने मॉड्यूल का उपयोग किया था जिसे हम आउटलुक कॉन्टैक्ट स्टीलर और आउटलुक ईमेल स्टीलर कहते हैं, जो आउटलुक से ईमेल और संपर्क जानकारी चुराने में सक्षम थे। हालाँकि, चूंकि हर कोई आउटलुक का उपयोग नहीं करता है, इमोटेट लौटने के बाद एक मुफ्त वैकल्पिक ईमेल एप्लिकेशन पर भी ध्यान केंद्रित किया: थंडरबर्ड। इसके अलावा, इसने Google Chrome क्रेडिट कार्ड स्टीलर मॉड्यूल का उपयोग करना शुरू कर दिया, जो Google Chrome ब्राउज़र पर संग्रहीत क्रेडिट कार्ड की जानकारी चुरा लेता है।

ईएसईटी टेलीमेट्री और शोधकर्ताओं की धारणा के अनुसार, इमोटेट बॉटनेट अप्रैल 2023 की शुरुआत से शांत हैं। यह संभवतः एक नए प्रभावी आक्रमण वेक्टर की खोज के कारण है। जनवरी 2022 से आज तक ईएसईटी द्वारा पता लगाए गए अधिकांश हमलों के लिए जापान (43%), इटली (13%), स्पेन (5%), मैक्सिको (5%) और दक्षिण अफ्रीका (4%) को लक्षित किया गया था।

ESET.com पर अधिक

 

---

ईएसईटी के बारे में

ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।

---

 

विषय से संबंधित लेख