कोमोडो पांच विश्वविद्यालयों को नए मैलवेयर से बचाता है जो डेटा चोरी करते हैं

पढ़ने का समय: 5 मिनट

2018 के पहले कुछ हफ्तों में साइबर अपराधियों ने पांच विश्वविद्यालयों, 23 निजी कंपनियों और कई सरकारी संगठनों को निशाना बनाया। नये, परिष्कृत होने के बावजूद मैलवेयर के प्रकार हमलावरों ने इस्तेमाल किया, वे कोमोडो की सुरक्षा को भेदने में असमर्थ थे।

साइबर अपराधियों ने तकनीकी सुरक्षा साधनों को दरकिनार करने और मानवीय सतर्कता को धोखा देने के लिए एक जटिल श्रृंखला बनाने की कोशिश की।

कोमोडो के विश्लेषक धमकी लैब्स नोट किया गया कि हैकर्स ने मैलवेयर को ईमेल अटैचमेंट के रूप में सामान्य मार्ग से नहीं भेजा, बल्कि इसे कई परतों में छिपाने की कोशिश की। सबसे पहले, फ़िशिंग ईमेल को FedEx के संदेश के रूप में छिपाया गया था। जैसा कि स्क्रीनशॉट से पता चलता है, संदेश ने दुर्भावनापूर्ण लिंक पर उपयोगकर्ता क्लिक उत्पन्न करने के लिए चालाक सोशल इंजीनियरिंग ट्रिक्स का उपयोग किया। दूसरा, दुर्भावनापूर्ण लिंक स्वयं भी अच्छी तरह से छिपा हुआ है - Google ड्राइव पर एक लिंक के रूप में। ये ट्रिक्स कई यूजर्स को धोखा देने में सक्षम थीं।

जब कोई उपयोगकर्ता लिंक पर क्लिक करता है, तो हमलावरों की साइट उनके ब्राउज़र में खुल जाती है, जिसमें डाउनलोड करने के लिए दुर्भावनापूर्ण फ़ाइल "लेबल कॉपी.exe" होती है। एड्रेस बार पर विशेष ध्यान दें: जैसा कि आप देख सकते हैं, "सुरक्षित," "https" और "drive.google.com" वहां मौजूद हैं, इसलिए एक सुरक्षा सतर्क उपयोगकर्ता भी कुछ भी संदिग्ध नहीं देख सकता है और इसे एक भरोसेमंद साइट के रूप में ले सकता है। . दरअसल, कोई कैसे जान सकता है कि एड्रेस बार में "google.com" वाली चीज़ पर भरोसा न किया जाए? लेकिन... हकीकत चुभती है. कई लोगों के लिए इस पर विश्वास करना कठिन है, लेकिन कुशल साइबर अपराधी अपनी पोस्ट डालने के लिए Drive.google.com का उपयोग करते हैं फ़िशिंग मैलवेयर. और यह मामला कोई अकेली घटना नहीं है, इसलिए Google - साथ ही कई अन्य क्लाउड स्टोरेज सेवाओं - को निश्चित रूप से इस समस्या को हल करने के लिए तत्काल कदम उठाने चाहिए। कम से कम, उन्हें निरंतर वास्तविक समय प्रदान करना चाहिए मैलवेयर की जाँच करता है. इससे इस प्रकार की दुर्भावनापूर्ण गतिविधि को कम करने में मदद मिलेगी।

यह भी ध्यान देने योग्य है कि दुर्भावनापूर्ण फ़ाइल को भी चालाकी से छिपाया जाता है - एक Adobe Acrobat दस्तावेज़ के रूप में। इसमें न केवल .pdf फ़ाइलों के समान एक आइकन है, बल्कि फ़ाइल के संस्करण की जानकारी भी है:

निःसंदेह, उपरोक्त सभी बातें कपटपूर्ण हैं: "लेबल कॉपी" एक खतरनाक मैलवेयर है जो आपके रहस्यों को उजागर करने के लिए खोजा जाता है।

'lebal_copy.exe'' वास्तव में आपके कंप्यूटर पर क्या कर सकता है?

कोमोडो विश्लेषकों ने फ़ाइल के प्रकार को ट्रोजन (TrojWare.Win32.Pony.IENG और TrojWare.MSIL.Injector.~SHI, सटीक होने के लिए) के रूप में परिभाषित किया - जानकारी चुराने के लिए बनाया गया मैलवेयर।

लेकिन किस तरह की जानकारी?

डाउनलोड किया गया मैलवेयर पीड़ित मशीन पर चल रहे ओएस और एप्लिकेशन के संस्करण का पता लगाता है। फिर यह कुकीज़ और क्रेडेंशियल्स सहित उपयोगकर्ता के ब्राउज़र से निजी डेटा चुराता है, और ई-मेल और इंस्टेंट मैसेंजर क्लाइंट के बारे में जानकारी ढूंढता है। इसके बाद यह FileZilla या WinSCP जैसे FTP क्लाइंट से क्रेडेंशियल निकालता है और बिटकॉइन या इलेक्ट्रम जैसे क्रिप्टोकरेंसी वॉलेट का पता लगाने और उन तक पहुंचने का प्रयास करता है। संक्षेप में, यह पीड़ित मशीन से निकाली जा सकने वाली हर चीज़ को पकड़ लेता है। अंत में, यह साइबर अपराधियों के कमांड-एंड-कंट्रोल सर्वर के साथ संबंध बनाता है और सभी एकत्रित जानकारी हमलावरों तक पहुंचाता है। यह OS रक्षा साधनों को बंद करने और स्वयं को छिपाने का भी प्रयास करता है एंटीमैलवेयर उपकरण विभिन्न परिष्कृत तरीकों से.

जैसा कि कोमोडो विश्लेषकों ने खुलासा किया, 30 मेल सर्वरों को निशाना बनाकर किया गया यह हमला ब्राज़ील के साओ पाओलो के एक आईपी पते 177.154.128.114 और डोमेन dpsp.com.br से प्रदान किया गया था। सभी 328 फ़िशिंग ईमेल एक दिन - 8 जनवरी के दौरान भेजे गए थे।

कोमोडो थ्रेट रिसर्च लैब्स के प्रमुख फातिह ओरहान ने टिप्पणी की, "फ़िशिंग ईमेल अधिक परिष्कृत और परिष्कृत हो गए हैं।" “साइबर अपराधी सक्रिय रूप से उपयोगकर्ताओं को चारा लिंक पर क्लिक करने के लिए बरगलाने के लिए नए तरीकों का आविष्कार करते हैं। जैसा कि हम उपरोक्त उदाहरण से देख सकते हैं, किसी दुर्भावनापूर्ण फ़ाइल या लिंक को अलग करना इतना आसान नहीं है, यहाँ तक कि किसी के लिए भी साइबर सुरक्षा जागरूक उपयोगकर्ता. इसीलिए आज सुरक्षा सुनिश्चित करने के लिए, कंपनियों को न केवल लोगों को साइबर सुरक्षा सतर्कता कौशल के लिए प्रशिक्षित करने की आवश्यकता है, बल्कि विश्वसनीय तकनीकी सुरक्षा साधनों का भी उपयोग करना होगा। इस हमले का वस्तुओं पर कोई प्रभाव नहीं पड़ा। केवल इसलिए क्योंकि उन्होंने पहले से तैयारी कर ली थी: कोमोडो इंटेलिजेंस के साथ अपने नेटवर्क की सुरक्षा करके। और यह सही निर्णय था, क्योंकि किसी हमले को रोकना उसके परिणामों पर काबू पाने की तुलना में कहीं अधिक आसान है।
कोमोडो के साथ सुरक्षित रहें!

तकनीकी विश्लेषण

फ़ाइल का नाम: लेबल Copy.exe

Sample SHA1: e26e12ed8a5944b1dbefa3dbe3e5fc98c264ba49

दिनांक: 11 जनवरी 2018

1. सारांश

फ़ाइल एक 814 KB पोर्टेबल निष्पादन योग्य है जो उपयोगकर्ता को इसे चलाने के लिए धोखा देने के लिए Adobe Acrobat दस्तावेज़ का प्रतिरूपण करने का प्रयास कर रही है। अधिक प्रशंसनीयता के लिए, इसे एक .pdf फ़ाइल के आइकन और नकली फ़ाइल के संस्करण की जानकारी के साथ छिपाया गया:

2. व्यवहार विश्लेषण

चलने के बाद, यह tmp.exe (SHA1: 0e9f43124e27fd471df3cf2832487f62eb30e1c) को छोड़ देता है और MSBuild.exe की प्रतिलिपि बनाता है
विंडोज़ से .exe के रूप में निष्पादन योग्य।

MSBuild.exe को कॉपी करने का उद्देश्य इसे मैलवेयर के निर्देशों के साथ चलाना और इंजेक्ट करना है। चूँकि यह "Microsoft Corporation" प्रमाणपत्र के साथ डिजिटल रूप से हस्ताक्षरित है, कुछ सुरक्षा एप्लिकेशन इसके कार्यों की अनुमति दे सकते हैं, इस प्रकार मैलवेयर को अपनी इच्छानुसार इंटरनेट और स्थानीय संसाधनों तक पहुंच प्राप्त करने की अनुमति मिलती है।

इंजेक्शन निष्पादित करने के बाद, मैलवेयर kensho-au.tk/file/payload.bin फ़ाइल डाउनलोड करता है, इसे सिस्टम के अस्थायी फ़ोल्डर में WinNtBackend-1751449698485799.tmp.exe (SHA1: 5245079fe71977c89915f5c00eaa4d1d6c36375c) पर ले जाता है और फिर इसे निष्पादित करता है।

यह हमलावर को मैलवेयर को निरंतर अपडेट और नए घटक प्रदान करने या समझौता किए गए होस्ट पर अतिरिक्त मैलवेयर स्थापित करने की अनुमति देता है।

मैलवेयर का मुख्य उद्देश्य संवेदनशील जानकारी चुराना है। यह निम्नलिखित डेटा एकत्र करने का प्रयास करता है:

- कुकीज़ और लॉगिन क्रेडेंशियल सहित वेब ब्राउज़र से निजी डेटा;

— बिटकॉइन या इलेक्ट्रम जैसे क्रिप्टोकरेंसी वॉलेट;

- FileZilla या WinSCP जैसे ज्ञात ftp क्लाइंट से क्रेडेंशियल;

— त्वरित संदेशवाहक खाते;

- ईमेल क्लाइंट खाते (थंडरबर्ड और आउटलुक):

एकत्रित डेटा http://datacntrsecured.com/securityfilesdoc/gate.php पर भेजा जाता है

3. निष्कर्ष

मैलवेयर विभिन्न दुर्भावनापूर्ण उद्देश्यों के लिए यथासंभव अधिक से अधिक निजी जानकारी निकालने के लिए बनाया गया है, उदाहरण के लिए:
-चोरी हुए ईमेल खातों का उपयोग स्पैम संदेश भेजने के लिए किया जा सकता है;
-एफ़टीपी क्रेडेंशियल वेबसाइटों से समझौता करने के लिए उन तक पहुंच प्रदान करते हैं;
-क्रिप्टोकरेंसी खातों से तुरंत पैसा निकाला जा सकता है।

यदि प्रभावित उपयोगकर्ता समय पर उचित जवाबी कदम नहीं उठाएंगे तो किसी भी चुराई गई जानकारी का उपयोग साइबर अपराधियों द्वारा किया जा सकता है।

4. समझौते के सूचक

– %temp% फ़ोल्डर में .exe फ़ाइल की उपस्थिति
- %temp% फ़ोल्डर में tmp.exe फ़ाइल की उपस्थिति
- %temp% फ़ोल्डर में WinNtBackend-2955724792077800.tmp.exe फ़ाइल की उपस्थिति

5. पता लगाना

Malware TrojWare.Win32.Pony.IENG और TrojWare.MSIL.Injector.~SHI नाम वाले कोमोडो उत्पादों द्वारा इसका पता लगाया गया है

संबंधित संसाधन:

सर्वश्रेष्ठ एंटीवायरस सॉफ्टवेयर

पीसी के लिए एंटीवायरस सॉफ्टवेयर

सर्वश्रेष्ठ मैलवेयर हटाने के उपकरण

लिनक्स के लिए एंटीवायरस (पीसी)

सबसे अच्छा एंटीवायरस

वेबसाइट मालवेयर स्कैनर

निशुल्क आजमाइश शुरु करें मुफ़्त के लिए अपनी सुरक्षा स्कोर प्राप्त करें

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://blog.comodo.com/comodo-news/comodo-protects-five-universities-new-malware-steals-data/