دھمکی دینے والے اداکار Cloudflare DDoS بوٹ چیکس کو ریموٹ ایکسیس ٹروجن (RAT) کو پہلے سے سمجھوتہ کی گئی کچھ ورڈپریس ویب سائٹس کے زائرین کے سسٹم پر چھوڑنے کی کوشش میں جعل سازی کر رہے ہیں۔
Sucuri کے محققین نے حال ہی میں تحقیقات کے دوران نئے حملہ آور ویکٹر کو دیکھا ورڈپریس کو نشانہ بنانے والے جاوا اسکرپٹ انجیکشن حملوں میں اضافہ سائٹس انہوں نے حملہ آوروں کو ورڈپریس ویب سائٹس میں اسکرپٹ داخل کرنے کا مشاہدہ کیا جس نے ایک جعلی پرامپٹ کو متحرک کیا جس میں ویب سائٹ ہونے کا دعویٰ کیا گیا جس کی تصدیق کی گئی کہ آیا سائٹ دیکھنے والا انسان ہے یا DDoS بوٹ۔
بہت سے ویب ایپلیکیشن فائر والز (WAFs) اور مواد کی تقسیم کے نیٹ ورک کی خدمات معمول کے مطابق اپنی DDoS پروٹیکشن سروس کے حصے کے طور پر اس طرح کے انتباہات پیش کرتی ہیں۔ Sucuri نے ورڈپریس سائٹس پر اس نئے جاوا اسکرپٹ کا مشاہدہ کیا جو ایک جعلی Cloudflare DDoS تحفظ پاپ اپ کو متحرک کرتا ہے۔
وہ صارفین جنہوں نے ویب سائٹ تک رسائی کے لیے جعلی پرامپٹ پر کلک کیا، ان کے سسٹم پر ایک نقصان دہ .iso فائل ڈاؤن لوڈ ہو گئی۔ اس کے بعد انہیں ایک نیا پیغام موصول ہوا جس میں ان سے فائل کو کھولنے کے لیے کہا گیا تاکہ وہ ویب سائٹ تک رسائی کے لیے ایک تصدیقی کوڈ حاصل کر سکیں۔ Sucuri نے لکھا، "چونکہ اس قسم کے براؤزر چیک ویب پر بہت عام ہیں، بہت سے صارفین اس ویب سائٹ تک رسائی حاصل کرنے کے لیے اس پرامپٹ پر کلک کرنے سے پہلے دو بار نہیں سوچیں گے،" Sucuri نے لکھا۔ "زیادہ تر صارفین کو جس چیز کا احساس نہیں وہ یہ ہے کہ یہ فائل درحقیقت ایک ریموٹ ایکسیس ٹروجن ہے، جسے فی الحال اس پوسٹ کے وقت 13 سیکیورٹی وینڈرز نے جھنڈا لگایا ہے۔"
خطرناک RAT
Sucuri نے ریموٹ ایکسیس ٹروجن کی شناخت NetSupport RAT کے طور پر کی ہے، یہ ایک میلویئر ٹول ہے جسے رینسم ویئر اداکاروں نے رینسم ویئر فراہم کرنے سے پہلے سسٹمز کو فوٹ پرنٹ کرنے کے لیے استعمال کیا ہے۔ RAT کا استعمال Racoon Stealer کو چھوڑنے کے لیے بھی کیا گیا ہے، جو کہ ایک معروف معلومات چوری کرنے والا ہے جو اس سال کے شروع میں مختصر طور پر نظروں سے اوجھل ہو گیا تھا۔ خطرے کی زمین کی تزئین پر واپس بڑھتی ہوئی جون میں. Racoon Stealer 2019 میں منظر عام پر آیا اور 2021 کے سب سے زیادہ معلومات چوری کرنے والوں میں سے ایک تھا۔ دھمکی دینے والے اداکاروں نے اسے مختلف طریقوں سے تقسیم کیا ہے، بشمول مالویئر کے بطور سروس ماڈل اور اسے پائریٹڈ سافٹ ویئر فروخت کرنے والی ویب سائٹس پر لگا کر۔ جعلی Cloudflare DDoS تحفظ کے اشارے کے ساتھ، دھمکی دینے والے اداکاروں کے پاس اب میلویئر کو تقسیم کرنے کا ایک نیا طریقہ ہے۔
"دھمکی دینے والے اداکار، خاص طور پر جب فشنگ، استعمال کرنے والوں کو بے وقوف بنانے کے لیے جائز نظر آنے والی کوئی بھی چیز استعمال کریں گے،" جان بامبینک کہتے ہیں، نیٹنریچ کے پرنسپل دھمکی ہنٹر۔ وہ کہتے ہیں کہ چونکہ لوگ بوٹس کا پتہ لگانے اور روکنے کے لیے کیپچا جیسے میکانزم کے عادی ہو جاتے ہیں، اس لیے یہ سمجھ میں آتا ہے کہ دھمکی دینے والے اداکار صارفین کو بے وقوف بنانے کے لیے وہی طریقہ کار استعمال کریں۔ "یہ نہ صرف لوگوں کو میلویئر انسٹال کرنے کے لیے استعمال کیا جا سکتا ہے، بلکہ بڑی کلاؤڈ سروسز (جیسے) گوگل، مائیکروسافٹ، اور فیس بک کی اسناد چوری کرنے کے لیے 'کریڈینشل چیک' کے لیے استعمال کیا جا سکتا ہے،" بامبینک کہتے ہیں۔
بالآخر، ویب سائٹ آپریٹرز کو ایک حقیقی صارف اور مصنوعی صارف، یا بوٹ کے درمیان فرق بتانے کے لیے ایک طریقہ کی ضرورت ہوتی ہے، وہ نوٹ کرتا ہے۔ بامبینک نے مزید کہا، لیکن اکثر بوٹس کا پتہ لگانے کے ٹولز جتنے زیادہ موثر ہوتے ہیں، صارفین کے لیے ڈی کوڈ کرنا اتنا ہی مشکل ہوتا ہے۔
NVisium کے سینئر سائبر سیکیورٹی ریسرچر چارلس کونلے کا کہنا ہے کہ اس قسم کے مواد کی جعل سازی کا استعمال کرنا جس کا مشاہدہ Sucuri نے RAT فراہم کرنے کے لیے کیا ہے خاص طور پر کوئی نئی بات نہیں ہے۔ سائبر جرائم پیشہ افراد نے معمول کے مطابق کاروبار سے متعلقہ ایپس اور سروسز جیسے کہ Microsoft، Zoom، اور DocuSign کو میلویئر ڈیلیور کرنے اور صارفین کو ہر قسم کے غیر محفوظ سافٹ ویئر اور کارروائیوں کو انجام دینے کے لیے دھوکہ دہی سے تیار کیا ہے۔
تاہم، براؤزر پر مبنی سپوفنگ حملوں کے ساتھ، کروم جیسے براؤزرز پر پہلے سے طے شدہ ترتیبات جو مکمل یو آر ایل کو چھپاتے ہیں یا ونڈوز جیسے آپریٹنگ سسٹم جو فائل ایکسٹینشن کو چھپاتے ہیں، یہاں تک کہ سمجھدار افراد کے لیے یہ بتانا مشکل بنا سکتا ہے کہ وہ کیا ڈاؤن لوڈ کر رہے ہیں اور یہ کہاں سے ہے، کونلی کہتے ہیں۔
