इवेसिव ज्यूपिटर इन्फोस्टीलर अभियान खतरनाक संस्करण प्रदर्शित करता है

सुरक्षा शोधकर्ताओं ने ज्यूपिटर के एक परिष्कृत नए संस्करण से जुड़े हमलों में हाल ही में वृद्धि देखी है, एक सूचना चोरी करने वाला जो कम से कम 2020 से क्रोम, एज और फ़ायरफ़ॉक्स ब्राउज़र के उपयोगकर्ताओं को लक्षित कर रहा है।

मैलवेयर, जिसे येलो कॉकटू, सोलरमार्कर और पोलाज़र्ट भी कहा जाता है, पिछले दरवाजे से मशीनों में प्रवेश कर सकता है और कंप्यूटर का नाम, उपयोगकर्ता के व्यवस्थापक विशेषाधिकार, कुकीज़, वेब डेटा, ब्राउज़र पासवर्ड प्रबंधक जानकारी और अन्य संवेदनशील डेटा सहित विभिन्न प्रकार की क्रेडेंशियल जानकारी एकत्र कर सकता है। पीड़ित सिस्टम - जैसे क्रिप्टो-वॉलेट और रिमोट एक्सेस ऐप्स के लिए लॉगिन।

लगातार डेटा चोरी करने वाला साइबर खतरा

वीएमवेयर के कार्बन ब्लैक के शोधकर्ताओं ने हाल ही में पहचान और प्रतिक्रिया (एमडीआर) सेवा का प्रबंधन किया नये संस्करण का अवलोकन किया मैलवेयर पावरशेल कमांड संशोधनों और वैध दिखने वाले, डिजिटल रूप से हस्ताक्षरित पेलोड का लाभ उठाकर अक्टूबर के अंत से लगातार बढ़ती संख्या में सिस्टम को संक्रमित कर रहा है।

वीएमवेयर ने इस सप्ताह अपने सुरक्षा ब्लॉग में कहा, "हाल ही में ज्यूपिटर संक्रमण अपने मैलवेयर पर हस्ताक्षर करने के लिए कई प्रमाणपत्रों का उपयोग करते हैं, जो बदले में, दुर्भावनापूर्ण फ़ाइल पर भरोसा करने की अनुमति दे सकते हैं, जिससे पीड़ित की मशीन तक प्रारंभिक पहुंच प्रदान की जा सकती है।" "ये संशोधन [ज्यूपिटर की] चोरी की क्षमताओं को बढ़ाते प्रतीत होते हैं, जिससे यह अदृश्य बना रहता है।"

मोर्फिसेक और ब्लैकबेरी - दो अन्य विक्रेता जिन्होंने पहले ज्यूपिटर को ट्रैक किया है - ने मैलवेयर की पहचान एक पूर्ण बैकडोर के रूप में कार्य करने में सक्षम के रूप में की है। उन्होंने इसकी क्षमताओं का वर्णन किया है, जिसमें कमांड और कंट्रोल (सी2) संचार के लिए समर्थन, अन्य मैलवेयर के लिए ड्रॉपर और लोडर के रूप में कार्य करना, पहचान से बचने के लिए शेल कोड को खोखला करना और पावरशेल स्क्रिप्ट और कमांड निष्पादित करना शामिल है।

ब्लैकबेरी ने बताया है कि ज्यूपिटर ओपनवीपीएन, रिमोट डेस्कटॉप प्रोटोकॉल और अन्य रिमोट एक्सेस एप्लिकेशन तक पहुंचने के अलावा एथेरियम वॉलेट, मायमोनरो वॉलेट और एटॉमिक वॉलेट जैसे क्रिप्टो-वॉलेट को भी लक्षित कर रहा है।

मैलवेयर के ऑपरेटरों ने मैलवेयर वितरित करने के लिए विभिन्न तकनीकों का उपयोग किया है, जिसमें खोज इंजन दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करना, ड्राइव-बाय डाउनलोड, फ़िशिंग और एसईओ विषाक्तता - या मैलवेयर वितरित करने के लिए दुर्भावनापूर्ण रूप से खोज इंजन परिणामों में हेरफेर करना शामिल है।

ज्यूपिटर: मैलवेयर का पता लगाना

सबसे हालिया हमलों में, ज्यूपिटर के पीछे का खतरा अभिनेता मैलवेयर पर डिजिटल हस्ताक्षर करने के लिए वैध प्रमाणपत्रों का उपयोग कर रहा है ताकि यह मैलवेयर का पता लगाने वाले उपकरणों के लिए वैध प्रतीत हो। फ़ाइलों में ऐसे नाम हैं जो उपयोगकर्ताओं को उन्हें खोलने के लिए प्रेरित करने के लिए डिज़ाइन किए गए हैं, जैसे शीर्षक के साथ "An-नियोक्ता-मार्गदर्शिका-से-समूह-स्वास्थ्य-निरंतरता.exe" तथा "Word-Document-Permanent.exe पर संपादन कैसे करें".

वीएमवेयर शोधकर्ताओं ने देखा कि मैलवेयर इन्फोस्टीलर पेलोड को डिक्रिप्ट करने और इसे मेमोरी में लोड करने के लिए अपने सी2 सर्वर से कई नेटवर्क कनेक्शन बना रहा है, पीड़ित सिस्टम पर उतरने के लगभग तुरंत बाद।

वीएमवेयर की रिपोर्ट के अनुसार, "क्रोम, एज और फ़ायरफ़ॉक्स ब्राउज़रों को लक्षित करते हुए, ज्यूपिटर संक्रमण दुर्भावनापूर्ण फ़ाइल डाउनलोड को प्रोत्साहित करने के लिए एसईओ विषाक्तता और खोज इंजन रीडायरेक्ट का उपयोग करता है जो हमले की श्रृंखला में प्रारंभिक आक्रमण वेक्टर हैं।" "मैलवेयर ने संवेदनशील डेटा को बाहर निकालने के लिए क्रेडेंशियल हार्वेस्टिंग और एन्क्रिप्टेड C2 संचार क्षमताओं का प्रदर्शन किया है।"

इंफोस्टीलर्स में परेशानी बढ़ाने वाली वृद्धि

विक्रेता के अनुसार, ज्यूपिटर शीर्ष 10 सबसे अधिक बार होने वाले संक्रमणों में से एक है जिसे वीएमवेयर ने हाल के वर्षों में क्लाइंट नेटवर्क पर पाया है। यह दूसरों द्वारा बताई गई बातों के अनुरूप है तीव्र और चिंताजनक वृद्धि COVID-19 महामारी शुरू होने के बाद कई संगठनों में बड़े पैमाने पर दूरस्थ कार्य में बदलाव के बाद इन्फोस्टीलर्स के उपयोग में।

लाल कनारीउदाहरण के लिए, रिपोर्ट में कहा गया है कि रेडलाइन, रैकून और विदर जैसे इन्फोस्टीलर्स ने 10 में कई बार अपनी शीर्ष 2022 सूचियों में जगह बनाई। अक्सर, मैलवेयर दुर्भावनापूर्ण विज्ञापनों के माध्यम से या एसईओ हेरफेर के माध्यम से वैध सॉफ़्टवेयर के लिए नकली या ज़हरीली इंस्टॉलर फ़ाइलों के रूप में पहुंचे। कंपनी ने हमलावरों को मैलवेयर का उपयोग करते हुए मुख्य रूप से दूरस्थ श्रमिकों से क्रेडेंशियल इकट्ठा करने की कोशिश करते हुए पाया, जो एंटरप्राइज़ नेटवर्क और सिस्टम तक त्वरित, लगातार और विशेषाधिकार प्राप्त पहुंच को सक्षम बनाता है।

रेड कैनरी के शोधकर्ताओं ने कहा, "कोई भी उद्योग चोरी करने वाले मैलवेयर से अछूता नहीं है और ऐसे मैलवेयर का प्रसार अक्सर अवसरवादी होता है, आमतौर पर विज्ञापन और एसईओ हेरफेर के माध्यम से।"

Uptycs ने एक रिपोर्ट दी समान और परेशान करने वाली वृद्धि इस वर्ष की शुरुआत में इन्फोस्टीलर वितरण में। कंपनी द्वारा ट्रैक किए गए डेटा से पता चलता है कि 2023 की पहली तिमाही में पिछले वर्ष की समान अवधि की तुलना में उन घटनाओं की संख्या दोगुनी से अधिक हो गई है जिनमें एक हमलावर ने एक इन्फोस्टीलर को तैनात किया था। सुरक्षा विक्रेता ने उपयोगकर्ता नाम और पासवर्ड, ब्राउज़र जानकारी जैसे प्रोफ़ाइल और ऑटोफ़िल जानकारी, क्रेडिट कार्ड जानकारी, क्रिप्टो-वॉलेट जानकारी और सिस्टम जानकारी चुराने के लिए मैलवेयर का उपयोग करने वाले खतरे वाले अभिनेताओं को पाया। Uptycs के अनुसार, Rhadamanthys जैसे नए इन्फोस्टीलर भी विशेष रूप से मल्टीफैक्टर प्रमाणीकरण अनुप्रयोगों से लॉग चुरा सकते हैं। चुराए गए डेटा वाले लॉग को आपराधिक मंचों पर बेचा जाता है, जहां इसकी भारी मांग होती है।

“चोरी किए गए डेटा की घुसपैठ में एक है संगठनों पर खतरनाक प्रभाव या व्यक्तियों के लिए, क्योंकि इसे आसानी से डार्क वेब पर अन्य खतरनाक अभिनेताओं के लिए प्रारंभिक पहुंच बिंदु के रूप में बेचा जा सकता है,'' अपटीक्स के शोधकर्ताओं ने चेतावनी दी।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant