सोफोसलैब्स सोशल इंजीनियरिंग के संयोजन में स्क्विरेलवाफल मालवेयर "डिस्ट्रीब्यूशन स्टेशन" के उपयोग की जांच कर रहा है। एक दोहरा हमला था: मालवेयर ड्रॉपर और वित्तीय धोखाधड़ी एक ही असुरक्षित एक्सचेंज सर्वर के माध्यम से चलती थी। Squirrelwaffle से प्रभावित संगठनों में सुरक्षा टीमों के लिए एक घटना गाइड।
एक में हाल ही के एक लेख में, सोफोस रैपिड रिस्पांस टीम एक ऐसे मामले का वर्णन करती है जिसमें स्क्विरेलवाफल मालवेयर ने अपहृत ईमेल थ्रेड्स के माध्यम से दुर्भावनापूर्ण स्पैम वितरित करने के लिए एक असुरक्षित एक्सचेंज सर्वर का शोषण किया।. उसी समय, एक ईमेल थ्रेड को हमलावरों द्वारा चोरी कर लिया गया था ताकि बेखबर उपयोगकर्ताओं को पैसे स्थानांतरित करने के लिए बरगलाया जा सके।
Squirrelwaffle, ProxyLogon और ProxyShell का संयोजन
Squirrelwaffle, ProxyLogon और ProxyShell के संयोजन का उपयोग यहाँ हाल के महीनों में सोफोस रैपिड रिस्पांस टीम द्वारा कई बार देखा गया है। हालाँकि, यह मामला हमलावरों को टाइपो-स्क्वाटिंग का उपयोग करते हुए दिखाने वाला पहला मामला है, जब एक्सचेंज सर्वर को पैच किया गया हो तब भी स्पैम भेजने की क्षमता बनाए रखने के लिए। ऐसा करने में, साइबर अपराधी उन उपयोगकर्ताओं का नेतृत्व करते हैं जो उनके द्वारा नियंत्रित दुर्भावनापूर्ण साइट पर वेबसाइट का नाम टाइप करते समय टाइपो बनाते हैं।
Squirrelwaffle मैलवेयर और सोशल इंजीनियरिंग दोहरे हमले में
वर्तमान हमले का उपयोग कंपनी के कर्मचारियों के मौजूदा ईमेल थ्रेड्स में हेरफेर किए गए उत्तरों को सम्मिलित करके आंतरिक और बाहरी प्राप्तकर्ताओं को बड़े पैमाने पर स्क्विरेलवाफल वितरित करने के लिए किया जा सकता है। सोफोस के शोधकर्ताओं ने पाया कि जब दुर्भावनापूर्ण स्पैम अभियान चल रहा था, उसी कमजोर सर्वर का उपयोग वित्तीय घोटाले के लिए भी किया जा रहा था। चोरी किए गए ई-मेल थ्रेड से प्राप्त ज्ञान का उपयोग करते हुए, उन्होंने टाइपो-स्क्वाटिंग का उपयोग करके प्रभावित कंपनी के कर्मचारियों को हमलावरों के लिए एक ग्राहक के लिए लक्षित धन लेनदेन को पुनर्निर्देशित करने के लिए समझाने की कोशिश की। और विश्वासघाती धोखाधड़ी लगभग सफल हो गई: साइबर अपराधियों को स्थानांतरण पहले ही स्वीकृत हो गया था, लेकिन सौभाग्य से एक बैंक संदिग्ध हो गया और अंतिम क्षण में लेनदेन रोक दिया।
अकेले पैचिंग करना काफी नहीं है
सोफोस रैपिड रिस्पांस के विश्लेषक और अध्ययन के लेखकों में से एक मैथ्यू एवर्ट्स की एक टिप्पणी कहती है:
“एक कमजोर एक्सचेंज सर्वर के माध्यम से एक विशिष्ट गिलहरीवाफल हमले में, हमला तब समाप्त होता है जब रक्षक कमजोरियों को पैच करके और सर्वर के माध्यम से ईमेल भेजने की हमलावर की क्षमता को हटाकर भेद्यता को खोजते हैं और ठीक करते हैं। हालांकि, जिस घटना की हमने जांच की, उसमें इस तरह के उपायों से वित्तीय धोखाधड़ी को रोका नहीं जा सकता था, क्योंकि हमलावरों ने पीड़ित के एक्सचेंज सर्वर से ग्राहक भुगतान के बारे में एक ईमेल थ्रेड निर्यात किया था। यह एक अच्छा अनुस्मारक है कि सुरक्षा प्रदान करने के लिए अकेले पैच हमेशा पर्याप्त नहीं होते हैं। उदाहरण के लिए, असुरक्षित एक्सचेंज सर्वर को यह भी सुनिश्चित करने की आवश्यकता है कि हमलावरों ने एक्सेस बनाए रखने के लिए वेब शेल को पीछे नहीं छोड़ा है। और जब परिष्कृत सोशल इंजीनियरिंग हमलों की बात आती है, जैसे कि ईमेल थ्रेड हाइजैकिंग में उपयोग किए जाने वाले, कर्मचारियों को शिक्षित करना कि क्या देखना है और कैसे रिपोर्ट करना है, यह पता लगाने के लिए महत्वपूर्ण है।
प्रभावित कंपनियों के लिए सहायता: स्क्विरेलवाफल इंसीडेंट गाइड
वर्तमान लेख के साथ, सोफोस ने एक स्क्विरेलवाफल इंसीडेंट गाइड भी प्रकाशित किया है, जो इस तेजी से लोकप्रिय मैलवेयर लोडर से जुड़ी घटनाओं की जांच, विश्लेषण और प्रतिक्रिया करने के तरीके पर चरण-दर-चरण निर्देश प्रदान करता है। यह स्पैम अभियानों में एक दुर्भावनापूर्ण कार्यालय दस्तावेज़ के रूप में वितरित किया जाता है और साइबर अपराधियों को पीड़ित के वातावरण में पहली बार पैर जमाने और अन्य मैलवेयर के साथ सिस्टम को फैलाने और संक्रमित करने के लिए एक चैनल बनाने की अनुमति देता है।
यह गाइड सोफोस रैपिड रेस्पोंस टीम द्वारा तैयार की जा रही इंसीडेंट गाइड्स की एक श्रृंखला का हिस्सा है, जो घटना के प्रतिसाददाताओं और सुरक्षा संचालन टीमों को आम खतरे के साधनों, तकनीकों और व्यवहारों की पहचान करने और उनका उपचार करने में मदद करती है। इसे मुफ्त में डाउनलोड किया जा सकता है।
Sophos.com पर अधिक
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।