macOS मैलवेयर अभियान नवीन डिलीवरी तकनीक का प्रदर्शन करता है

macOS मैलवेयर अभियान नवीन डिलीवरी तकनीक का प्रदर्शन करता है

समय टिकट: 2 फरवरी, 2024 अपराह्न 3:03 बजे
macOS मैलवेयर अभियान नवीन डिलीवरी तकनीक प्लेटोब्लॉकचेन डेटा इंटेलिजेंस को प्रदर्शित करता है। लंबवत खोज. ऐ.

सुरक्षा शोधकर्ताओं ने macOS उपयोगकर्ताओं को पिछले दरवाजे से वितरित करने के लिए लोकप्रिय सॉफ़्टवेयर उत्पादों की क्रैक की गई प्रतियों का उपयोग करके एक नए साइबर हमले अभियान पर अलार्म बजाया है।

यह अभियान उन कई अन्य अभियानों से अलग है जिन्होंने समान रणनीति अपनाई है - जैसे कि इस महीने की शुरुआत में रिपोर्ट की गई चीनी वेबसाइटों को शामिल करना - इसका विशाल पैमाना और इसकी नवीन, मल्टीस्टेज पेलोड डिलीवरी तकनीक है। यह भी ध्यान देने योग्य है कि धमकी देने वाले अभिनेता द्वारा उन शीर्षकों के साथ क्रैक किए गए macOS ऐप्स का उपयोग किया जाता है जो व्यावसायिक उपयोगकर्ताओं के लिए संभावित रुचि रखते हैं, इसलिए जो संगठन उपयोगकर्ताओं द्वारा डाउनलोड किए जाने वाले डेटा को प्रतिबंधित नहीं करते हैं, वे भी जोखिम में पड़ सकते हैं।

कास्परस्की पहले व्यक्ति थे खोजें और रिपोर्ट करें जनवरी 2024 में एक्टिवेटर macOS बैकडोर पर। सेंटिनलवन द्वारा दुर्भावनापूर्ण गतिविधि के बाद के विश्लेषण से पता चला है कि मैलवेयर "macOS ऐप्स के टोरेंट के माध्यम से चल रहा है, “सुरक्षा विक्रेता के अनुसार।

सेंटिनलवन के खतरे के शोधकर्ता फिल स्टोक्स कहते हैं, "हमारा डेटा वायरसटोटल में सामने आए अद्वितीय नमूनों की संख्या और आवृत्ति पर आधारित है।" "जनवरी में जब से यह मैलवेयर पहली बार खोजा गया था, हमने किसी भी अन्य macOS मैलवेयर की तुलना में इसके अधिक अनूठे नमूने देखे हैं जिन्हें हमने उसी अवधि में ट्रैक किया था।"

स्टोक्स का कहना है कि सेंटिनलवन ने एक्टिवेटर बैकडोर के नमूनों की जो संख्या देखी है, वह मैकओएस एडवेयर और बंडलवेयर लोडर (एडलोड और पिरिट के बारे में सोचें) की मात्रा से भी अधिक है, जो बड़े सहयोगी नेटवर्क द्वारा समर्थित हैं। "हालांकि हमारे पास संक्रमित उपकरणों के साथ संबंध स्थापित करने के लिए कोई डेटा नहीं है, वीटी पर अद्वितीय अपलोड की दर और लालच के रूप में उपयोग किए जा रहे विभिन्न अनुप्रयोगों से पता चलता है कि जंगली संक्रमण महत्वपूर्ण होंगे।"

macOS बॉटनेट का निर्माण?

गतिविधि के पैमाने के लिए एक संभावित स्पष्टीकरण यह है कि खतरा पैदा करने वाला व्यक्ति एक macOS बॉटनेट को इकट्ठा करने का प्रयास कर रहा है, लेकिन फिलहाल यह केवल एक परिकल्पना बनी हुई है, स्टोक्स कहते हैं।

एक्टिवेटर अभियान के पीछे खतरा पैदा करने वाला अभिनेता मैलवेयर वितरित करने के लिए 70 अद्वितीय क्रैक किए गए macOS एप्लिकेशन - या कॉपी सुरक्षा हटाए गए "फ्री" ऐप्स का उपयोग कर रहा है। क्रैक किए गए कई ऐप्स में व्यवसाय-केंद्रित शीर्षक हैं जो कार्यस्थल सेटिंग में व्यक्तियों के लिए रुचिकर हो सकते हैं। एक नमूना: स्नैग इट, निसस राइटर एक्सप्रेस, और राइनो-8, इंजीनियरिंग, आर्किटेक्चर, ऑटोमोटिव डिज़ाइन और अन्य उपयोग के मामलों के लिए एक सतह मॉडलिंग उपकरण।

स्टोक्स कहते हैं, "कार्य प्रयोजनों के लिए उपयोगी कई उपकरण हैं जिनका उपयोग macOS.Bkdr.Activator द्वारा ल्यूर के रूप में किया जाता है।" "नियोक्ता जो यह प्रतिबंधित नहीं करते हैं कि उपयोगकर्ता कौन सा सॉफ़्टवेयर डाउनलोड कर सकते हैं, यदि कोई उपयोगकर्ता पिछले दरवाजे से संक्रमित ऐप डाउनलोड करता है तो समझौता होने का जोखिम हो सकता है।"

क्रैक किए गए ऐप्स के माध्यम से मैलवेयर वितरित करने की कोशिश करने वाले खतरनाक अभिनेता आमतौर पर ऐप के भीतर ही दुर्भावनापूर्ण कोड और बैकडोर एम्बेड करते हैं। एक्टिवेटर के मामले में, हमलावर ने पिछले दरवाजे से हमला करने के लिए कुछ अलग रणनीति अपनाई है।  

भिन्न वितरण पद्धति

स्टोक्स का कहना है कि कई macOS मैलवेयर खतरों के विपरीत, एक्टिवेटर वास्तव में क्रैक किए गए सॉफ़्टवेयर को संक्रमित नहीं करता है। इसके बजाय, उपयोगकर्ताओं को उस क्रैक किए गए ऐप का एक अनुपयोगी संस्करण मिलता है जिसे वे डाउनलोड करना चाहते हैं, और एक "एक्टिवेटर" ऐप मिलता है जिसमें दो दुर्भावनापूर्ण निष्पादन योग्य होते हैं। उपयोगकर्ताओं को दोनों ऐप्स को एप्लिकेशन फ़ोल्डर में कॉपी करने और एक्टिवेटर ऐप चलाने का निर्देश दिया जाता है।

ऐप फिर उपयोगकर्ता को एडमिन पासवर्ड के लिए संकेत देता है, जिसका उपयोग वह macOS की गेटकीपर सेटिंग्स को अक्षम करने के लिए करता है ताकि ऐप्पल के आधिकारिक ऐप स्टोर के बाहर के एप्लिकेशन अब डिवाइस पर चल सकें। इसके बाद मैलवेयर दुर्भावनापूर्ण कार्रवाइयों की एक श्रृंखला शुरू करता है जो अंततः सिस्टम अधिसूचना सेटिंग को बंद कर देता है और अन्य चीजों के अलावा डिवाइस पर एक लॉन्च एजेंट स्थापित करता है। एक्टिवेटर बैकडोर स्वयं अन्य मैलवेयर के लिए प्रथम चरण का इंस्टॉलर और डाउनलोडर है।

स्टोक्स कहते हैं, मल्टीस्टेज डिलीवरी प्रक्रिया "उपयोगकर्ता को क्रैक किए गए सॉफ़्टवेयर प्रदान करती है, लेकिन इंस्टॉलेशन प्रक्रिया के दौरान पीड़ित को पीछे छोड़ देती है।" "इसका मतलब यह है कि भले ही उपयोगकर्ता बाद में क्रैक किए गए सॉफ़्टवेयर को हटाने का निर्णय लेता है, लेकिन इससे संक्रमण दूर नहीं होगा।"

कास्परस्की के मैलवेयर विश्लेषक सर्गेई पुज़ान, एक्टिवेटर अभियान के एक और पहलू की ओर इशारा करते हैं जो उल्लेखनीय है। पुज़ान कहते हैं, "यह अभियान एक पायथन बैकडोर का उपयोग करता है जो डिस्क पर बिल्कुल भी दिखाई नहीं देता है और सीधे लोडर स्क्रिप्ट से लॉन्च किया जाता है।" "पाइइंस्टॉलर जैसे किसी 'कंपाइलर' के बिना पायथन स्क्रिप्ट का उपयोग करना थोड़ा अधिक मुश्किल है क्योंकि इसमें हमलावरों को कुछ हमले के चरण में पायथन दुभाषिया ले जाने की आवश्यकता होती है या यह सुनिश्चित करना होता है कि पीड़ित के पास एक संगत पायथन संस्करण स्थापित है।"

पुज़ान का यह भी मानना ​​है कि इस अभियान के पीछे खतरे वाले अभिनेता का एक संभावित लक्ष्य macOS बॉटनेट बनाना है। उन्होंने आगे कहा, लेकिन एक्टिवेटर अभियान पर कैस्परस्की की रिपोर्ट के बाद से, कंपनी ने कोई अतिरिक्त गतिविधि नहीं देखी है।

समय टिकट:

से अधिक डार्क रीडिंग