ChromeLoader میلویئر مروجہ، زیادہ خطرناک سائبر خطرے میں تیار ہوتا ہے۔

سیکیورٹی محققین میلویئر ٹول پر خطرے کی گھنٹی بجا رہے ہیں جسے ChromeLoader کہتے ہیں۔ یہ سب سے پہلے جنوری میں صارف پر مرکوز، براؤزر ہائی جیکنگ کریڈینشل اسٹیلر کے طور پر سامنے آیا تھا لیکن اب یہ متعدد صنعتوں میں تنظیموں کے لیے وسیع پیمانے پر مروجہ اور کثیر جہتی خطرے میں تبدیل ہو گیا ہے۔

19 ستمبر کو جاری کی گئی ایک ایڈوائزری میں، VMware کی کاربن بلیک کا پتہ لگانے اور رسپانس کا انتظام کرنے والی ٹیم کے محققین نے کہا کہ انہوں نے حال ہی میں دیکھا ہے کہ میلویئر کا استعمال رینسم ویئر کو چھوڑنے، حساس ڈیٹا کو چوری کرنے، اور نام نہاد ڈیکمپریشن (یا زپ) بموں کو کریش سسٹمز میں تعینات کرنے کے لیے بھی کیا جا رہا ہے۔ .

محققین نے کہا کہ انہوں نے سینکڑوں حملوں کا مشاہدہ کیا ہے جن میں کاروباری خدمات، تعلیم، حکومت، صحت کی دیکھ بھال اور متعدد دیگر شعبوں میں کاروباری اداروں کو نشانہ بنانے والے میلویئر کے نئے ورژن شامل ہیں۔ 

"یہ مہم گزشتہ چند مہینوں میں بہت سی تبدیلیوں سے گزری ہے، اور ہمیں اس کے رکنے کی توقع نہیں ہے۔"محققین نے خبردار کیا. "یہ ضروری ہے کہ یہ صنعتیں اس [خطرے] کے پھیلاؤ کو نوٹ کریں اور اس کا جواب دینے کے لیے تیار ہوں۔"

جاری اور مروجہ مہم

VMware کی وارننگ مائیکروسافٹ کی سیکیورٹی انٹیلی جنس ٹیم کی طرف سے جمعہ کو ایک خطرے والے اداکار کے بارے میں گونجتی ہے جس کو وہ DEV-0796 کے طور پر ٹریک کر رہے ہیں، جو ایک وسیع اور جاری کلک فراڈ مہم میں ChromeLoader کا استعمال کر رہا ہے۔ ٹویٹس کی ایک سیریز میں، محققین نے کہا کہ سائبر حملہ آور تھے۔ کلکس کو منیٹائز کرنے کی کوشش ایک براؤزر ایکسٹینشن یا براؤزر نوڈ-ویب کٹ کے ذریعہ تیار کردہ جسے ChromeLoader نے متعدد صارف آلات پر خفیہ طور پر ڈاؤن لوڈ کیا تھا۔

مائیکروسافٹ کے تجزیے کے مطابق، "یہ مہم ایک .ISO فائل کے ساتھ شروع ہوتی ہے جو اس وقت ڈاؤن لوڈ ہوتی ہے جب کوئی صارف بدنیتی پر مبنی اشتہارات یا YouTube کے تبصروں پر کلک کرتا ہے۔" کھولنے پر، .ISO فائل مذکورہ بالا براؤزر نوڈ-ویب کٹ (NW.js) یا براؤزر کی توسیع کو انسٹال کرتی ہے۔ 

مائیکروسافٹ کے محققین نے مزید کہا کہ "ہم نے DMG فائلوں کا استعمال بھی دیکھا ہے، جو ملٹی پلیٹ فارم کی سرگرمی کی نشاندہی کرتی ہے۔"

ChromeLoader (عرف ChromeBack یا Choziosi Loader) نے جنوری میں توجہ مبذول کرائی جب محققین نے میلویئر آپریٹرز کو صارف کے سسٹمز پر پے لوڈ کے طور پر نقصان دہ براؤزر ایکسٹینشن کو چھوڑنے کے لیے اسے استعمال کرتے ہوئے دیکھا۔ میلویئر نے ایسے صارفین کو نشانہ بنایا جنہوں نے کریکڈ ویڈیو گیمز اور پائریٹڈ ٹورینٹ کا ذکر کرنے والی سائٹس کا دورہ کیا۔ 

پالو آلٹو نیٹ ورکس یونٹ 42 کے محققین خطرے کا شکار کرنے والی ٹیم انفیکشن ویکٹر کی وضاحت کی جیسا کہ ایک صارف ان سائٹس پر ایک QR کوڈ اسکین کرنے سے شروع ہوتا ہے جو پائریٹڈ مواد ڈاؤن لوڈ کرنے کی نیت سے ہوتا ہے۔ QR کوڈ نے صارف کو ایک سمجھوتہ شدہ ویب سائٹ پر ری ڈائریکٹ کیا، جہاں انہیں ایک .ISO امیج ڈاؤن لوڈ کرنے پر آمادہ کیا گیا جس میں پائریٹڈ فائل ہونے کا دعویٰ کیا گیا، جس میں ایک انسٹالر فائل اور کئی دیگر چھپی ہوئی فائلیں تھیں۔

جب صارفین نے انسٹالر فائل لانچ کی، تو انہیں ایک پیغام موصول ہوا جس میں بتایا گیا کہ ڈاؤن لوڈ ناکام ہو گیا ہے — جبکہ بیک گراؤنڈ میں میلویئر میں پاور شیل اسکرپٹ نے صارف کے براؤزر پر ایک نقصان دہ کروم ایکسٹینشن ڈاؤن لوڈ کیا، یونٹ 42 کے محققین نے پایا۔

تیز رفتار ارتقاء

اس سال کے شروع میں منظر عام پر آنے کے بعد سے، میلویئر کے مصنفین نے متعدد ورژن جاری کیے ہیں، جن میں سے بہت سے مختلف نقصان دہ صلاحیتوں سے لیس ہیں۔ ان میں سے ایک Bloom.exe نامی ایک قسم ہے جس نے مارچ میں اپنی ابتدائی شکل دی اور اس کے بعد سے کم از کم 50 VMware کاربن بلیک صارفین کو متاثر کیا ہے۔ VMware کے محققین نے کہا کہ انہوں نے دیکھا کہ میلویئر کو متاثرہ نظاموں سے حساس ڈیٹا کو نکالنے کے لیے استعمال کیا جا رہا ہے۔ 

ایک اور ChromeLoader ویرینٹ صارف کے سسٹمز پر زپ بم گرانے کے لیے استعمال کیا جا رہا ہے، یعنی نقصان دہ آرکائیو فائلز۔ وہ صارفین جو ہتھیاروں والی کمپریشن فائلوں پر کلک کرتے ہیں وہ میلویئر شروع کرتے ہیں جو ان کے سسٹمز کو ڈیٹا کے ساتھ اوورلوڈ کرتا ہے اور انہیں کریش کر دیتا ہے۔ اور اگست سے، مناسب طور پر نامزد کریش لوڈر ویریئنٹ کے آپریٹرز رینسم ویئر فیملی کو تقسیم کرنے کے لیے میلویئر کا استعمال کر رہے ہیں جسے Enigma کہتے ہیں۔

ChromeLoader کی تازہ ترین نقصان دہ حکمت عملی

پے لوڈز کے ساتھ ساتھ، صارفین کو ChromeLoader ڈاؤن لوڈ کرنے کی حکمت عملی بھی تیار ہوئی ہے۔ مثال کے طور پر، VMware کاربن بلیک کے محققین نے کہا کہ انہوں نے صارفین کو ChromeLoader کی طرف لے جانے کے لیے میلویئر کے مصنف کی مختلف جائز خدمات کی نقالی کرتے ہوئے دیکھا ہے۔ 

VMware نے اپنی رپورٹ میں کہا کہ ایک سروس جس کی انہوں نے نقالی کی ہے وہ OpenSubtitles ہے، جو صارفین کو مقبول ٹی وی شوز اور فلموں کے سب ٹائٹلز تلاش کرنے میں مدد کرنے کے لیے ڈیزائن کی گئی ہے۔ ایک اور FLB میوزک پلے ہے، جو موسیقی چلانے کی ایک سائٹ ہے۔ 

VMware نے کہا کہ "نقلی سافٹ ویئر کو ایڈویئر پروگرام کے ساتھ مل کر استعمال کیا جاتا ہے جو ویب ٹریفک کو ری ڈائریکٹ کرتا ہے، اسناد چراتا ہے، اور جائز اپ ڈیٹس کے طور پر پیش کردہ دیگر نقصان دہ ڈاؤن لوڈز کی سفارش کرتا ہے۔"

اکثر، صارفین میلویئر جیسے ChromeLoader کا بنیادی ہدف ہوتے ہیں۔ لیکن اب بہت سے ملازمین گھر سے کام کر رہے ہیں، اور اکثر اپنے ذاتی ملکیتی آلات کو انٹرپرائز ڈیٹا اور ایپلیکیشنز تک رسائی کے لیے استعمال کر رہے ہیں، کاروباری اداروں کو متاثر کیا جا سکتا ہے اس کے ساتھ ساتھ. VMware کی کاربن بلیک ٹیم، مائیکروسافٹ کے سیکورٹی محققین کی طرح، نے کہا کہ ان کا ماننا ہے کہ موجودہ مہم صرف ChromeLoader پر مشتمل مزید حملوں کا مرکز ہے۔

"کاربن بلیک MDR ٹیم کا خیال ہے کہ یہ ایک ابھرتا ہوا خطرہ ہے جس کا سراغ لگانے اور اسے سنجیدگی سے لینے کی ضرورت ہے،" VMware نے اپنی ایڈوائزری میں کہا، "مزید مذموم مالویئر فراہم کرنے کی صلاحیت کی وجہ سے۔"