नकली ज़ूम, गूगल और स्काइप मीटिंग्स ने कॉर्पोरेट आरएटी फैलाए

एक धमकी देने वाला अभिनेता नकली स्काइप बना रहा है, गूगल मीट, और ज़ूम मीटिंग, विभिन्न प्रसार करने के लिए इन लोकप्रिय सहयोग अनुप्रयोगों की नकल करते हैं कमोडिटी मैलवेयर जो एंड्रॉइड और विंडोज दोनों उपयोगकर्ताओं से संवेदनशील डेटा चुरा सकता है।

दिसंबर में शुरू हुआ यह अभियान दर्शाता है कि कॉर्पोरेट उपयोगकर्ताओं के लिए उभरता साइबर सुरक्षा खतरा, Zcaler's ThreatLabz के शोधकर्ताओं ने 6 मार्च को एक ब्लॉग पोस्ट में खुलासा किया। हमलावर एक ही आईपी पते पर नकली ऑनलाइन मीटिंग साइटों को होस्ट करने के लिए साझा वेब होस्टिंग का उपयोग कर रहे हैं, विभिन्न यूआरएल का लाभ उठा रहे हैं जो कि प्रतिरूपित की जा रही सेवाओं की वास्तविक वेबसाइटों के समान हैं। . उदाहरण के लिए, स्काइप अभियान में "जॉइन-स्काइप[.]जानकारी" का उपयोग किया गया था, जबकि Google मीट उपयोगकर्ताओं को "ऑनलाइन-क्लाउडमीटिंग[.]प्रो" के माध्यम से मीटिंग में शामिल होने के लिए लुभाया गया था। ज़ूम अभियान "us06webzoomus[.]pro" का उपयोग करता है।

धमकी देने वाले अभिनेता क्रॉस-प्लेटफ़ॉर्म उपयोगकर्ताओं पर हमला करने के लिए व्यापक रूप से उपलब्ध पेलोड देने के लिए गैम्बिट का उपयोग कर रहे हैं, एंड्रॉइड-केंद्रित स्पाईनोट आरएटी का उपयोग कर रहे हैं, और एनजेआरएटी और डीसीआरएटीशोधकर्ताओं ने कहा, जो विंडोज़ उपयोगकर्ताओं से समझौता करता है।

थ्रेटलैबज़ के शोधकर्ता हिमांशु शर्मा, अर्काप्रवा त्रिपथल और मेघराज नंदनवार ने अभियान पर पोस्ट में लिखा, "एक धमकी देने वाला अभिनेता एंड्रॉइड और विंडोज के लिए आरएटी वितरित करने के लिए इन लालचों का उपयोग कर रहा है, जो गोपनीय जानकारी चुरा सकता है, कीस्ट्रोक्स लॉग कर सकता है और फाइलें चुरा सकता है।"

स्काइप और गूगल मीट के जरिए उपयोगकर्ताओं को लुभाने की कोशिशें दिसंबर में शुरू हुईं और हमलावर ने जनवरी में ज़ूम का रूप धारण करना शुरू कर दिया।

नकली मीटिंग आमंत्रण क्लिक-टू-समझौता प्रस्ताव

जिस प्रकार प्रत्येक अभियान का अपना आकर्षण होता है, उसी प्रकार प्रत्येक आक्रमण वेक्टर अपने निष्पादन में अद्वितीय था, दोनों के बीच कुछ समानताएँ थीं। स्काइप अभियान में, लिंक विंडोज़ उपयोगकर्ताओं को Skype8.exe नामक एक फ़ाइल की ओर ले जाता है, जो Skype डाउनलोड के रूप में प्रच्छन्न एक दुर्भावनापूर्ण निष्पादन योग्य है, जबकि Google Play के माध्यम से लिंक पर क्लिक करने वालों को दुर्भावनापूर्ण फ़ाइल Skype.apk की ओर इंगित किया गया था। दोनों फ़ाइलें अंततः एक दुर्भावनापूर्ण पेलोड वितरित करती हैं।

नकली Google मीट साइट Android (वास्तव में, SpyNote RAT) और/या Windows (एक BAT फ़ाइल जो DCRat पेलोड डाउनलोड करती है) के लिए एक नकली Skype एप्लिकेशन डाउनलोड करने के लिए लिंक प्रदान करती है।

नकली ज़ूम साइट इस मायने में थोड़ी अलग है कि यह उपयोगकर्ताओं को बेवकूफ बनाने के लिए एक अतिरिक्त ट्रिक का उपयोग करती है, एक उपपथ के साथ एक लिंक प्रस्तुत करती है जो ज़ूम क्लाइंट द्वारा उत्पन्न मीटिंग आईडी से काफी मिलती जुलती है।

नकली Google मीट और के बीच एक समानता भी है ज़ूम वेबसाइटों में उन दोनों में दो अतिरिक्त विंडोज़ निष्पादन योग्य फ़ाइलों - ड्राइवर.exe और meet.exe - के साथ NjRAT को छिपाने वाली एक खुली निर्देशिका भी शामिल है।

शोधकर्ताओं ने कहा, "इन फाइलों की मौजूदगी से पता चलता है कि हमलावर इन्हें अलग-अलग नाम देकर अन्य अभियानों में इस्तेमाल कर सकते हैं।"

व्यावसायिक उपयोगकर्ताओं को उभरते साइबर खतरों से बचाना

खुद को बचाने के लिए, यह महत्वपूर्ण है कि उद्यम "उन्नत और" से बचाव के उपाय करें विकसित हो रहे मैलवेयर के खतरे, “ThreatLabz के अनुसार।

उस अंत तक, शोधकर्ताओं ने हमलावरों को उपयोगकर्ताओं से समझौता करने के लिए कम प्रवेश बिंदु देने के लिए नियमित अपडेट और सुरक्षा पैच के महत्व पर जोर दिया। उन्होंने पोस्ट में अनुसंधान के दौरान आयोजित सैंडबॉक्स विश्लेषण प्रक्रिया के दौरान ट्रिगर की गई विशिष्ट MITER ATT&CK तकनीकों की एक सूची भी शामिल की।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/spoofed-zoom-google-skype-meetings-spread-corporate-rats