थ्रेट एक्टर्स क्लाउडफ्लेयर डीडीओएस बॉट-चेक को धोखा दे रहे हैं, जो कुछ पहले से समझौता की गई वर्डप्रेस वेबसाइटों के आगंतुकों से संबंधित सिस्टम पर रिमोट-एक्सेस ट्रोजन (आरएटी) को छोड़ने के प्रयास में हैं।
सुकुरी के शोधकर्ताओं ने हाल ही में जांच के दौरान नए हमले के वेक्टर को देखा वर्डप्रेस को लक्षित करने वाले जावास्क्रिप्ट इंजेक्शन हमलों में वृद्धि साइटें उन्होंने हमलावरों को वर्डप्रेस वेबसाइटों में एक स्क्रिप्ट इंजेक्ट करते हुए देखा, जो एक नकली संकेत को ट्रिगर करता है जो वेबसाइट को सत्यापित करने का दावा करता है कि साइट विज़िटर मानव है या डीडीओएस बॉट है।
कई वेब एप्लिकेशन फायरवॉल (WAF) और सामग्री वितरण नेटवर्क सेवाएं नियमित रूप से अपनी DDoS सुरक्षा सेवा के हिस्से के रूप में ऐसे अलर्ट प्रदान करती हैं। सुकुरी ने इस नई जावास्क्रिप्ट को वर्डप्रेस साइटों पर देखा जो नकली क्लाउडफ्लेयर डीडीओएस सुरक्षा पॉप-अप को ट्रिगर करता है।
उपयोगकर्ता जिन्होंने वेबसाइट तक पहुँचने के लिए नकली प्रॉम्प्ट पर क्लिक किया, उनके सिस्टम पर एक दुर्भावनापूर्ण .iso फ़ाइल डाउनलोड हो गई। फिर उन्हें एक नया संदेश प्राप्त हुआ जिसमें उनसे फ़ाइल खोलने के लिए कहा गया ताकि वे वेबसाइट तक पहुँचने के लिए एक सत्यापन कोड प्राप्त कर सकें। सुकुरी ने लिखा, "चूंकि इस प्रकार के ब्राउज़र की जांच वेब पर बहुत आम है, इसलिए कई उपयोगकर्ता उस वेबसाइट तक पहुंचने के लिए इस प्रॉम्प्ट पर क्लिक करने से पहले दो बार नहीं सोचेंगे, जिस पर वे जाने की कोशिश कर रहे हैं।" "अधिकांश उपयोगकर्ताओं को यह एहसास नहीं होता है कि यह फ़ाइल वास्तव में रिमोट एक्सेस ट्रोजन है, जिसे वर्तमान में इस पोस्ट के समय 13 सुरक्षा विक्रेताओं द्वारा ध्वजांकित किया गया है।"
खतरनाक RAT
सुकुरी ने रिमोट-एक्सेस ट्रोजन को नेटसपोर्ट आरएटी के रूप में पहचाना, एक मैलवेयर टूल जो रैंसमवेयर अभिनेताओं ने पहले रैंसमवेयर वितरित करने से पहले सिस्टम का उपयोग किया था। RAT का उपयोग एक प्रसिद्ध सूचना चोरी करने वाले Racoon Stealer को छोड़ने के लिए भी किया गया है, जो इस साल की शुरुआत में कुछ समय के लिए दृष्टि से बाहर हो गया था। खतरे के परिदृश्य पर वापस बढ़ रहा है जून में। रैकून स्टीलर 2019 में सामने आया और 2021 के सबसे विपुल सूचना चोरी करने वालों में से एक था। धमकी देने वाले अभिनेताओं ने इसे कई तरह से वितरित किया है, जिसमें मैलवेयर-ए-ए-सर्विस मॉडल शामिल हैं और इसे पायरेटेड सॉफ़्टवेयर बेचने वाली वेबसाइटों पर लगाकर। नकली Cloudflare DDoS सुरक्षा संकेतों के साथ, धमकी देने वाले अभिनेताओं के पास अब मैलवेयर वितरित करने का एक नया तरीका है।
नेटेनरिच के प्रमुख थ्रेट हंटर जॉन बम्बनेक कहते हैं, "खतरे वाले अभिनेता, विशेष रूप से फ़िशिंग के दौरान, उपयोगकर्ताओं को बेवकूफ़ बनाने के लिए वैध दिखने वाली किसी भी चीज़ का उपयोग करेंगे।" उनका कहना है कि जैसे-जैसे लोगों को बॉट्स का पता लगाने और उन्हें ब्लॉक करने के लिए कैप्चा जैसे तंत्रों की आदत होती है, वैसे-वैसे उपयोगकर्ताओं को बेवकूफ बनाने की कोशिश करने के लिए धमकी देने वाले अभिनेताओं के लिए उन्हीं तंत्रों का उपयोग करना समझ में आता है। "इसका उपयोग न केवल लोगों को मैलवेयर स्थापित करने के लिए किया जा सकता है, बल्कि प्रमुख क्लाउड सेवाओं (जैसे) Google, Microsoft और Facebook के क्रेडेंशियल्स को चुराने के लिए 'क्रेडेंशियल चेक' के लिए इस्तेमाल किया जा सकता है," बम्बनेक कहते हैं।
अंततः, वेबसाइट संचालकों को एक वास्तविक उपयोगकर्ता और एक सिंथेटिक, या एक बॉट के बीच अंतर बताने का एक तरीका चाहिए, वह नोट करता है। लेकिन अक्सर बॉट्स का पता लगाने के लिए जितने अधिक प्रभावी उपकरण मिलते हैं, उपयोगकर्ताओं को डिकोड करने के लिए उतना ही कठिन होता है, बम्बनेक कहते हैं।
एनविज़ियम के वरिष्ठ साइबर सुरक्षा शोधकर्ता चार्ल्स कॉनले का कहना है कि सुकुरी ने आरएटी देने के लिए जिस तरह की सामग्री स्पूफिंग का उपयोग किया है, वह विशेष रूप से नया नहीं है। साइबर क्रिमिनल्स नियमित रूप से माइक्रोसॉफ्ट, जूम और डॉक्यूमेंटसाइन जैसी कंपनियों के व्यापार से संबंधित ऐप और सेवाओं को खराब कर देते हैं ताकि मैलवेयर वितरित कर सकें और उपयोगकर्ताओं को सभी प्रकार के असुरक्षित सॉफ़्टवेयर और कार्यों को अंजाम दे सकें।
हालांकि, ब्राउज़र-आधारित स्पूफिंग हमलों के साथ, क्रोम जैसे ब्राउज़र पर डिफ़ॉल्ट सेटिंग्स जो पूर्ण यूआरएल छुपाती हैं या विंडोज़ जैसे ऑपरेटिंग सिस्टम जो फ़ाइल एक्सटेंशन छुपाते हैं, समझदार व्यक्तियों के लिए यह बताना मुश्किल हो सकता है कि वे क्या डाउनलोड कर रहे हैं और यह कहां से है, कॉनली कहते हैं।
