ایک نیا دریافت شدہ بیک ڈور اور اسناد چوری کرنے والا کارپوریٹ کارکنوں کو میلویئر ڈاؤن لوڈ کرنے پر آمادہ کرنے کے لیے ایک وسیع مہم کے حصے کے طور پر ایک جائز سافٹ ویئر ڈاؤن لوڈ کر رہا ہے۔
لچکدار سافٹ ویئر کے محققین نے میلویئر کا مشاہدہ کیا، جسے LOBSHOT کہا جاتا ہے، جسے AnyDesk جیسی مقبول ریموٹ ورک فورس ایپلی کیشنز کے لیے نقصان دہ گوگل اشتہارات کے ذریعے پھیلایا جا رہا ہے، انہوں نے انکشاف کیا حالیہ بلاگ پوسٹ.
"حملہ آوروں نے اپنے مالویئر کو گوگل اشتہارات کے ذریعے جعلی ویب سائٹس کی وسیع اسکیم کا استعمال کرتے ہوئے فروغ دیا اور اس میں بیک ڈور سرایت کیا جو صارفین کو جائز انسٹالرز کے طور پر ظاہر ہوتا ہے،" لچکدار سافٹ ویئر کے ڈینیئل سٹیپینک نے پوسٹ میں لکھا۔
مزید یہ کہ دھمکی دینے والا گروپ TA505، جسے پھیلانے کے لیے جانا جاتا ہے۔ کلپ رینسم ویئرایسا لگتا ہے کہ LOBSHOT کے پیچھے ہے، جو ایک پچھلے دروازے سے لگتا ہے جو مالی طور پر حوصلہ افزائی کرتا ہے، بینکنگ، کرپٹو، اور دیگر اسناد اور متاثرین سے ڈیٹا چوری کرتا ہے، محققین نے کہا۔ LOBSHOT کو پھیلانے کے لیے استعمال ہونے والی جعلی ڈاؤن لوڈ سائٹ نے ڈاؤن لوڈ-cdn[.]com سے ایک DLL کو عمل میں لایا، جو کہ ایک ڈومین تاریخی طور پر خطرے والے گروپ سے وابستہ ہے — جو کہ اس کے ہاتھ کے لیے بھی جانا جاتا ہے۔ ڈرائڈیکس, Locky, and Necurs مہمات، انہوں نے کہا۔
اسٹیپینک نے لکھا کہ TA505 سے منسلک اس دوسرے انفراسٹرکچر کی بنیاد پر جو مہم میں استعمال کیا جاتا ہے، محققین "اعتدال پسند اعتماد کے ساتھ اندازہ لگاتے ہیں" کہ LOBSHOT ایک نئی میلویئر صلاحیت ہے جس کا اس گروپ نے فائدہ اٹھایا ہے۔ مزید برآں، محققین ہر ہفتے اس خاندان سے متعلق نئے نمونے دیکھ رہے ہیں، اور "اس کے کچھ وقت تک رہنے کی توقع ہے،" انہوں نے لکھا۔
نقصان دہ گوگل اشتہارات کا فائدہ اٹھانا
سال کے شروع میں دیکھی جانے والی اسی طرح کی دھمکی آمیز مہمات کی طرح، ممکنہ متاثرین کو گوگل اشتہارات پر کلک کرنے سے LOBSHOT کا سامنا کرنا پڑتا ہے جو کہ جائز افرادی قوت کے سافٹ ویئر، جیسے AnyDesk کے لیے ہوتے ہیں۔ یہ حربہ اسی طرح ہے۔ جنوری میں ایک مشاہدہ کیا گیا۔ Google اشتہارات سے ویب سائٹ کے ری ڈائریکٹس کے ذریعے میلویئر-as-a-service Rhadamanthys Stealer کو پھیلانا جو کہ مشہور ریموٹ ورک فورس سافٹ ویئر، جیسے AnyDesk اور Zoom کے لیے ڈاؤن لوڈ سائٹس کے طور پر بھی سامنے آتا ہے۔
درحقیقت، مہمات خرابی کو اپنانے میں "بڑے اسپائک" سے منسلک ہیں جس کا سیکورٹی محققین اس سال کے شروع سے مشاہدہ کر رہے ہیں، لچکدار تلاش کے مطابق۔
اسٹیپینک نے لکھا، "سیکیورٹی کمیونٹی میں بھی اسی طرح کی انفیکشن چینز کا مشاہدہ کیا گیا جس میں جائز سافٹ ویئر ڈاؤن لوڈز تلاش کرنے والے صارفین کی مشترکات ہیں جو گوگل کے فروغ یافتہ اشتہارات سے ناجائز سافٹ ویئر حاصل کرنے میں کامیاب ہوئیں۔"
انہوں نے کہا کہ یہ سرگرمی مخالفوں کے بدسلوکی اور "جائز سافٹ ویئر کی نقالی کرتے ہوئے گوگل اشتہارات جیسی بدسلوکی کے ذریعے" اپنی رسائی میں اضافہ کرنے کے رجحان کی عکاسی کرتی ہے۔
Stepanic نے تسلیم کیا کہ اس قسم کے مالویئر غیر معمولی لگ سکتے ہیں اور ان کی رسائی محدود ہے، لیکن وہ "مکمل طور پر انٹرایکٹو ریموٹ کنٹرول صلاحیتوں" کے ذریعے ایک بڑا کارٹون پیک کرتے ہیں تاکہ خطرے والے اداکاروں کو کارپوریٹ نیٹ ورکس تک ابتدائی رسائی حاصل کرنے اور دیگر بدنیتی پر مبنی سرگرمیوں میں ملوث ہونے میں مدد ملے۔
LOBSHOT انفیکشن چین
LOBSHOT انفیکشن کا سلسلہ اس وقت شروع ہوتا ہے جب کوئی ایک ایسے جائز سافٹ ویئر کے لیے انٹرنیٹ پر تلاش کرتا ہے جس کے لیے Google Ads ایک ترقی یافتہ نتیجہ فراہم کرتا ہے جو دراصل ایک بدنیتی پر مبنی سائٹ ہے۔
"میں ایک مشاہدہ شدہ مثال، بدنیتی پر مبنی اشتہار ایک جائز ریموٹ ڈیسک ٹاپ حل کے لیے تھا، AnyDesk،" Stepanic نے وضاحت کی۔ "یو آر ایل کا احتیاط سے جائزہ لینا جائز AnyDesk URL کی بجائے https://www.amydecke[.]ویب سائٹ پر جاتا ہے، https://www.anydesk[.]com".
اس اشتہار پر کلک کرنے سے صارف اس سافٹ ویئر کو ڈاؤن لوڈ کرنے کے لیے ایک جائز نظر آنے والے لینڈنگ پیج پر لے جاتا ہے جس کی صارف تلاش کر رہا تھا۔ تاہم، یہ دراصل ایک MSI انسٹالر ہے جو، ایک بار ڈاؤن لوڈ ہونے کے بعد، صارف کے کمپیوٹر پر کام کرتا ہے، محققین نے کہا۔
اسٹیپینک نے لکھا، "لینڈنگ پیجز بہت قائل تھے، جس میں جائز سافٹ ویئر جیسی برانڈنگ تھی اور اس میں ڈاؤن لوڈ ناؤ بٹن شامل تھے جو ایک MSI انسٹالر کی طرف اشارہ کرتے تھے،" Stepanic نے لکھا۔
MSI پھر ایک PowerShell شروع کرتا ہے جو LOBSHOT کو rundll32 کے ذریعے ڈاؤن لوڈ کرتا ہے، جو حملہ آور کی ملکیت والے کمانڈ اینڈ کنٹرول سرور کے ساتھ بات چیت شروع کرتا ہے، لچکدار سافٹ ویئر کے مطابق۔
چوری اور تخفیف
LOBSHOT کی بنیادی صلاحیتوں میں سے ایک اس کے hVNC (پوشیدہ ورچوئل نیٹ ورک کمپیوٹنگ) جزو کے ارد گرد ہے، ایک ماڈیول جو "مشین تک براہ راست اور غیر مشاہدہ شدہ رسائی" کی اجازت دیتا ہے، اور حملہ آوروں کے ذریعے پتہ لگانے سے بچنے کے لیے استعمال کیا جاتا ہے، سٹیپینک نے نوٹ کیا۔
"یہ خصوصیت دھوکہ دہی کا پتہ لگانے کے نظام کو نظرانداز کرنے میں کامیابی سے جاری ہے اور اکثر پلگ ان کے طور پر بہت سے مقبول خاندانوں میں پکایا جاتا ہے،" انہوں نے لکھا۔
محققین نے کہا کہ فی الحال استعمال ہونے والے زیادہ تر میلویئر کی طرح، LOBSHOT بھی حفاظتی مصنوعات سے بچنے اور اس کی صلاحیتوں کی تیز رفتار شناخت کو سست کرنے کے لیے متحرک درآمدی ریزولوشن کا استعمال کرتا ہے۔
"اس عمل میں Windows APIs کے ناموں کو حل کرنا شامل ہے جن کی میلویئر کو رن ٹائم کے وقت ضرورت ہوتی ہے جیسا کہ پروگرام میں درآمدات کو وقت سے پہلے رکھنے کے برخلاف،" Stepanic نے لکھا۔
محققین نے مختلف لچکدار تلاش گٹ ہب صفحات کے لنکس شامل کیے ہیں جو اس کے مختلف عملوں سے متعلق LOBSHOT جیسے میلویئر سے سمجھوتہ کرنے سے بچنے کے لیے روک تھام کے حربوں کا مظاہرہ کرتے ہیں۔ مشکوک ونڈوز ایکسپلورر پر عمل درآمد, مشکوک والدین اور بچے کا رشتہ، اور Windows.Trojan.Lobshot.
اس پوسٹ میں وہ ہدایات بھی شامل ہیں جن کا استعمال تنظیمیں EQL استفسارات پیدا کرنے کے لیے کر سکتی ہیں تاکہ دادا دادی، والدین اور بچوں کے تعلقات سے متعلق مشتبہ رویوں کو تلاش کیا جا سکے جن کو محققین نے LOBSHOT پر عمل کرتے ہوئے دیکھا۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/remote-workforce/fake-google-ads-lure-corporate-workers-download-lobshot-backdoor
- : ہے
- $UP
- 7
- a
- تک رسائی حاصل
- کے مطابق
- کا اعتراف
- سرگرمی
- اداکار
- اصل میں
- Ad
- منہ بولابیٹا بنانے
- اشتھارات
- آگے
- کی اجازت دیتا ہے
- بھی
- an
- اور
- APIs
- ظاہر ہوتا ہے
- ایپلی کیشنز
- کیا
- ارد گرد
- AS
- منسلک
- At
- سے اجتناب
- پچھلے دروازے
- گھر کے دروازے
- بینکنگ
- BE
- رہا
- پیچھے
- کیا جا رہا ہے
- بگ
- بلاگ
- برانڈ
- لیکن
- by
- مہم
- مہمات
- کر سکتے ہیں
- صلاحیتوں
- ہوشیار
- چین
- زنجیروں
- بچے
- مواصلات
- کمیونٹی
- جزو
- سمجھوتہ
- کمپیوٹر
- کمپیوٹنگ
- آپکا اعتماد
- جاری ہے
- کنٹرول
- کور
- کارپوریٹ
- تخلیق
- اسناد
- کرپٹو
- اس وقت
- ڈینیل
- اعداد و شمار
- فراہم کرتا ہے
- مظاہرہ
- ڈیسک ٹاپ
- کھوج
- براہ راست
- دریافت
- ڈومین
- نیچے
- ڈاؤن لوڈ، اتارنا
- ڈاؤن لوڈز
- ڈوب
- متحرک
- ہر ایک
- اس سے قبل
- تفصیل
- سرایت کرنا
- ملازمت کرتا ہے
- آخر
- مشغول
- پھانسی
- پھانسی
- توقع ہے
- وضاحت کی
- ایکسپلورر
- ظاہر
- جعلی
- خاندانوں
- خاندان
- نمایاں کریں
- مالی طور پر
- کے لئے
- سے
- مکمل طور پر
- حاصل کرنا
- حاصل کرنے
- GitHub کے
- جاتا ہے
- گوگل
- گروپ
- ہاتھ
- ہے
- he
- مدد
- پوشیدہ
- تاریخی
- تاہم
- HTTPS
- شناخت
- درآمد
- درآمدات
- in
- دیگر میں
- شامل
- شامل ہیں
- سمیت
- اضافہ
- انفراسٹرکچر
- ابتدائی
- کے بجائے
- انٹرایکٹو
- انٹرنیٹ
- میں
- IT
- میں
- فوٹو
- جانا جاتا ہے
- لینڈنگ
- بڑے
- آغاز
- لیڈز
- جائز
- کی طرح
- لمیٹڈ
- منسلک
- لنکس
- مشین
- میلویئر
- بہت سے
- مئی..
- ماڈیول
- اس کے علاوہ
- سب سے زیادہ
- حوصلہ افزائی
- MSI
- نام
- ضروریات
- نیٹ ورک
- نیٹ ورک
- نئی
- کا کہنا
- اب
- of
- اکثر
- on
- ایک بار
- مخالفت کی
- تنظیمیں
- دیگر
- صفحہ
- حصہ
- کارکردگی کا مظاہرہ
- مسلسل
- رکھ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پلگ ان
- مقبول
- پوسٹ
- ممکنہ
- پاورشیل
- روک تھام
- عمل
- عمل
- حاصل
- پروگرام
- فروغ یافتہ
- سوالات
- تیزی سے
- تک پہنچنے
- کی عکاسی کرتا ہے
- متعلقہ
- تعلقات
- ریموٹ
- محققین
- قرارداد
- کے حل
- نتیجہ
- s
- کہا
- تلاش کریں
- تلاش
- سیکورٹی
- دیکھ کر
- کی تلاش
- لگتا ہے
- اسی طرح
- بعد
- سائٹ
- سائٹس
- سست
- سافٹ ویئر کی
- حل
- کچھ
- کسی
- بڑھتی ہوئی وارداتوں
- پھیلانے
- پھیلانا
- کامیاب
- اس طرح
- مشکوک
- سسٹمز
- حکمت عملی
- کہ
- ۔
- ان
- تو
- یہ
- وہ
- اس
- اس سال
- خطرہ
- دھمکی دینے والے اداکار
- کے ذریعے
- بندھے ہوئے
- وقت
- کرنے کے لئے
- رجحان
- ٹروجن
- اقسام
- URL
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- مختلف
- بہت
- کی طرف سے
- متاثرین
- مجازی
- تھا
- راستہ..
- ویب سائٹ
- ویب سائٹ
- ہفتے
- تھے
- کیا
- جب
- جس
- کھڑکیاں
- ساتھ
- کارکنوں
- افرادی قوت۔
- سال
- زیفیرنیٹ
- زوم
