ESET के शोधकर्ता विशेष macOS स्पाई सॉफ्टवेयर का विश्लेषण करते हैं: DazzleSpy हांगकांग में लोकतंत्र समर्थक समाचार साइट के आगंतुकों पर खुद को एक शोषण के रूप में निष्पादित करके और साइट विज़िटर में खुद को आरोपित करके हमला करता है।
हांगकांग रेडियो स्टेशन D100 की वेबसाइट से छेड़छाड़ की गई थी। एक सफारी शोषण चलता है जो समाचार पोर्टल आगंतुकों के मैक पर स्पाइवेयर स्थापित करता है। हमलावरों द्वारा किए गए "वाटरिंग होल" ऑपरेशन से संकेत मिलता है कि लक्ष्य संभवतः हांगकांग में राजनीतिक रूप से सक्रिय, लोकतंत्र समर्थक व्यक्ति हैं। ESET के शोधकर्ताओं ने जासूसी कार्यक्रम DazzleSpy नाम दिया है और इसकी अधिक विस्तार से जांच की है। मैलवेयर संवेदनशील और व्यक्तिगत जानकारी की एक विस्तृत श्रृंखला एकत्र करने में सक्षम है।
लक्षित वाटरिंग होल संचालन
"ब्राउज़र में कोड निष्पादित करने के लिए उपयोग किया जाने वाला शोषण काफी जटिल है, जिसमें कोड की 1.000 से अधिक पंक्तियां शामिल हैं। दिलचस्प बात यह है कि उनमें से कुछ सुझाव देते हैं कि भेद्यता का आईओएस पर भी फायदा उठाया जा सकता है। यह तब iPhone XS और नए वेरिएंट जैसे उपकरणों को भी प्रभावित करेगा," ESET के मैलवेयर शोधकर्ता मार्क-एटिने लेवेइल कहते हैं, जिन्होंने वाटरिंग होल हमले की जांच की।
MacOS पर सफारी वेब ब्राउजर के शोषण के लिए अग्रणी वाटरिंग होल हमलों की पहली रिपोर्ट Google द्वारा पिछले नवंबर में प्रकाशित की गई थी। ESET के शोधकर्ताओं ने Google के साथ ही हमलों की जांच की और लक्ष्यों और पीड़ितों से समझौता करने के लिए उपयोग किए जाने वाले मैलवेयर के बारे में अतिरिक्त जानकारी का खुलासा किया। भेद्यता अब पैच की गई है।
यह अभियान 2020 आईओएस मैलवेयर अभियान लाइटस्पाई के साथ समानताएं साझा करता है। यहाँ, हांगकांग से एक वेबसाइट पर आने वाले आगंतुकों को HTML तत्व iframe का उपयोग करके एक WebKit शोषण के लिए प्रेरित किया गया।
DazzleSpy अपने लक्ष्यों के बारे में जानकारी एकत्र करता है
DazzleSpy स्पाई प्रोग्राम कई तरह की कार्रवाई करने में सक्षम है। मैलवेयर हैक किए गए कंप्यूटर के बारे में जानकारी एकत्र कर सकता है, विशिष्ट फ़ाइलों की खोज कर सकता है, डेस्कटॉप, डाउनलोड और दस्तावेज़ फ़ोल्डर में फ़ाइलों को स्कैन कर सकता है, बंडल शेल कमांड निष्पादित कर सकता है, दूरस्थ स्क्रीन सत्र प्रारंभ या समाप्त कर सकता है, और डिस्क पर लिखने के लिए बंडल फ़ाइल खोल सकता है।
इस अभियान में उपयोग किए गए कारनामों की जटिलता को देखते हुए, ईएसईटी के शोधकर्ताओं ने निष्कर्ष निकाला कि इस ऑपरेशन के पीछे के समूह में उच्च तकनीकी क्षमताएं हैं। यह भी दिलचस्प है कि DazzleSpy एंड-टू-एंड एन्क्रिप्शन लागू करता है। नतीजतन, अगर कोई अनएन्क्रिप्टेड ट्रांसमिशन को छिपकर देखने की कोशिश करता है तो दुर्भावनापूर्ण प्रोग्राम अपने कमांड और कंट्रोल (C&C) सर्वर के साथ संचार नहीं करता है।
Dazzlespy के पीछे हैकर्स के बारे में एक और दिलचस्प खोज यह है कि एक बार मैलवेयर एक समझौता किए गए कंप्यूटर पर वर्तमान दिनांक और समय प्राप्त कर लेता है, तो यह C&C सर्वर भेजने से पहले कैप्चर की गई तारीख को एशिया/शंघाई समय क्षेत्र में परिवर्तित कर देता है। इसके अलावा, DazzleSpy मैलवेयर में कई चीनी भाषा के आंतरिक संदेश शामिल हैं।
ESET.com पर अधिक
ईएसईटी के बारे में ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।