ایک ڈرپوک نیا معلومات چوری کرنے والا گوگل اشتہارات سے ویب سائٹ ری ڈائریکٹس کے ذریعے صارف کی مشینوں پر پھسل رہا ہے جو مشہور ریموٹ ورک فورس سافٹ ویئر، جیسے زوم اور AnyDesk کے لیے ڈاؤن لوڈ سائٹس کے طور پر پیش کرتی ہے۔
سائبل کے محققین، نئے میلویئر تناؤ کے پیچھے خطرناک اداکار، "Rhadamanthys Stealer" - جو ڈارک ویب پر میلویئر کے طور پر-ایک-سروس ماڈل کے تحت خریداری کے لیے دستیاب ہے - اپنے پے لوڈ کو پھیلانے کے لیے ڈیلیوری کے دو طریقے استعمال کر رہے ہیں۔ بلاگ پوسٹ میں انکشاف ہوا 12 جنوری کو شائع ہوا۔
ایک احتیاط سے تیار کردہ فشنگ سائٹس کے ذریعے ہے جو نہ صرف زوم بلکہ AnyDesk، Notepad++، اور Bluestacks کے لیے ڈاؤن لوڈ سائٹس کی نقالی کرتی ہیں۔ محققین نے کہا کہ دوسرا زیادہ عام فشنگ ای میلز کے ذریعے ہے جو میلویئر کو بدنیتی پر مبنی اٹیچمنٹ کے طور پر فراہم کرتا ہے۔
ڈیلیوری کے دونوں طریقے انٹرپرائز کے لیے خطرہ ہیں، کیونکہ غیر مشتبہ کارپوریٹ کارکنوں کی جانب سے انسانی غلط فہمی کے ساتھ مل کر فشنگ دھمکی دینے والے اداکاروں کے لیے "کارپوریٹ نیٹ ورکس تک غیر مجاز رسائی حاصل کرنے کا ایک کامیاب طریقہ ہے، جو کہ ایک سنگین تشویش بن گیا ہے،" وہ کہا.
بے شک، ایک سالانہ سروے ڈیٹا کی خلاف ورزیوں پر ویریزون کے ذریعہ پتہ چلا کہ 2021 میں,تمام خلاف ورزیوں میں سے تقریباً 82% کسی نہ کسی شکل میں سوشل انجینئرنگ میں شامل ہیں، دھمکی دینے والے اداکار 60% سے زیادہ وقت میں ای میل کے ذریعے اپنے اہداف کو فش کرنے کو ترجیح دیتے ہیں۔
"انتہائی قائل کرنے والا" گھوٹالہ
محققین نے متعدد فشنگ ڈومینز کا پتہ لگایا جو خطرے کے اداکاروں نے Rhadamanthys کو پھیلانے کے لیے بنائے تھے، جن میں سے اکثر مختلف مذکورہ سافٹ ویئر برانڈز کے لیے جائز انسٹالر لنکس ہوتے ہیں۔ کچھ بدنیتی پر مبنی لنکس جن کی انہوں نے نشاندہی کی ہے وہ شامل ہیں: bluestacks-install[.]com، zoomus-install[.]com، install-zoom[.]com، install-anydesk[.]com، اور zoom-meetings-install[.]com.
"اس مہم کے پیچھے خطرناک اداکاروں نے … ایک انتہائی قائل فشنگ ویب پیج بنایا جو جائز ویب سائٹس کی نقالی کرتے ہوئے صارفین کو چوری کرنے والے میلویئر کو ڈاؤن لوڈ کرنے کے لیے پھنسانے کے لیے، جو بدنیتی پر مبنی سرگرمیاں انجام دیتا ہے،" انہوں نے لکھا۔
محققین کا کہنا ہے کہ اگر صارفین بیت لیتے ہیں، تو ویب سائٹس متعلقہ ایپلی کیشنز کو ڈاؤن لوڈ کرنے کے لیے ایک جائز انسٹالر کے بھیس میں انسٹالر فائل ڈاؤن لوڈ کریں گی، اور صارف کے علم میں لائے بغیر اسٹیلر کو خاموشی سے پس منظر میں انسٹال کر دیں گی۔
مہم کے زیادہ روایتی ای میل پہلو میں، حملہ آور اسپام کا استعمال کرتے ہیں جو مالیاتی تھیم کے ساتھ کسی پیغام کا جواب دینے کی فوری ضرورت پیش کرنے کے مخصوص سوشل انجینئرنگ ٹول کا فائدہ اٹھاتے ہیں۔ ای میلز کا مقصد وصول کنندگان کو اسٹیٹمنٹ پی ڈی ایف کے ساتھ اکاؤنٹ اسٹیٹمنٹ بھیجنا ہے جس پر انہیں کلک کرنے کا مشورہ دیا جاتا ہے تاکہ وہ "فوری جواب" کے ساتھ جواب دے سکیں۔
اگر کوئی اٹیچمنٹ پر کلک کرتا ہے، تو یہ ایک پیغام دکھاتا ہے جس سے ظاہر ہوتا ہے کہ یہ ایک "Adobe Acrobat DC Updater" ہے اور اس میں "Download Update" کا لیبل لگا ہوا ڈاؤن لوڈ لنک شامل ہے۔ وہ لنک، ایک بار کلک کرنے کے بعد، یو آر ایل سے چوری کرنے والے کے لیے قابل عمل میلویئر ڈاؤن لوڈ کرتا ہے۔ "https[:]\zolotayavitrina[.]com/Jan-statement[.]exe" متاثرہ مشین کے ڈاؤن لوڈز فولڈر میں، محققین نے کہا۔
انہوں نے کہا کہ ایک بار جب اس فائل پر عمل درآمد ہو جاتا ہے تو، چوری کرنے والے کو حساس ڈیٹا جیسے کہ براؤزر کی تاریخ اور اکاؤنٹ کے لاگ ان کی مختلف اسناد — بشمول کرپٹو والٹ کو نشانہ بنانے کے لیے مخصوص ٹیکنالوجی — کو ہدف کے کمپیوٹر سے اٹھانے کے لیے تعینات کیا جاتا ہے۔
Rhadamanthys Payload
Rhadamanthys کم و بیش ایک کی طرح کام کرتا ہے۔ عام معلومات چوری کرنے والا; تاہم، اس میں کچھ انوکھی خصوصیات ہیں جن کی شناخت محققین نے اس وقت کی جب انہوں نے شکار کی مشین پر اس کے عمل کو دیکھا۔
اگرچہ اس کی ابتدائی انسٹالیشن فائلیں مبہم پائتھون کوڈ میں ہیں، تاہم حتمی پے لوڈ کو ایک 32 بٹ ایگزیکیوٹیبل فائل کی شکل میں شیل کوڈ کے طور پر ڈی کوڈ کیا گیا ہے جو مائیکروسافٹ ویژول C/C++ کمپائلر کے ساتھ مرتب کیا گیا ہے، محققین نے پایا۔
شیل کوڈ کا کاروبار کا پہلا آرڈر ایک mutex آبجیکٹ بنانا ہے جس کا مقصد یہ یقینی بنانا ہے کہ کسی بھی وقت متاثرہ کے سسٹم پر میلویئر کی صرف ایک کاپی چل رہی ہو۔ محققین نے کہا کہ یہ یہ دیکھنے کے لیے بھی چیک کرتا ہے کہ آیا یہ ایک ورچوئل مشین پر چل رہا ہے، بظاہر ایک ورچوئل ماحول میں چوری کرنے والے کا پتہ لگانے اور اس کا تجزیہ کرنے سے روکنے کے لیے۔
"اگر میلویئر کو پتہ چلتا ہے کہ یہ ایک کنٹرول شدہ ماحول میں چل رہا ہے، تو یہ اس کے عمل کو ختم کر دے گا،" انہوں نے لکھا۔ "بصورت دیگر، یہ جاری رہے گا اور چوری کرنے والی سرگرمی کو حسب منشا انجام دے گا۔"
اس سرگرمی میں ونڈوز مینجمنٹ انسٹرومینٹیشن (WMI) کے سوالات کی ایک سیریز کو انجام دے کر سسٹم کی معلومات — جیسے کمپیوٹر کا نام، صارف نام، OS ورژن، اور مشین کی دیگر تفصیلات جمع کرنا شامل ہے۔ اس کے بعد براؤزر کی تاریخ، بُک مارکس، کوکیز، آٹو فلز، اور تلاش کرنے اور چوری کرنے کے لیے متاثرہ کی مشین پر انسٹال کردہ براؤزرز کی ڈائرکٹریز کا استفسار کیا جاتا ہے - بشمول Brave، Edge، Chrome، Firefox، Opera Software، اور دیگر۔ لاگ ان کی اسناد
چوری کرنے والے کے پاس مخصوص اہداف جیسے Armory، Binance، Bitcoin، ByteCoin، Wallet Wasabi، Zap، اور دیگر کے ساتھ مختلف کرپٹو بٹوے کو نشانہ بنانے کا ایک مخصوص مینڈیٹ بھی ہے۔ محققین نے کہا کہ یہ مختلف کرپٹو والٹ براؤزر ایکسٹینشنز سے ڈیٹا بھی چراتا ہے، جو اسٹیلر بائنری میں ہارڈ کوڈ کیے گئے ہیں۔
Rhadamanthys کی طرف سے ہدف کردہ دیگر ایپلیکیشنز یہ ہیں: FTP کلائنٹس، ای میل کلائنٹس، فائل مینیجر، پاس ورڈ مینیجر، VPN سروسز، اور میسجنگ ایپس۔ چوری کرنے والا متاثرہ شخص کی مشین کے اسکرین شاٹس بھی حاصل کرتا ہے۔ محققین نے کہا کہ میلویئر بالآخر تمام چوری شدہ ڈیٹا حملہ آوروں کے کمانڈ اینڈ کنٹرول (C2) سرور کو بھیج دیتا ہے۔
انٹرپرائز کے لیے خطرات
وبائی مرض کے بعد سے، کارپوریٹ افرادی قوت مجموعی طور پر زیادہ جغرافیائی طور پر منتشر ہو گئی ہے، منفرد سیکورٹی چیلنجز. سافٹ ویئر ٹولز جو ریموٹ ورکرز کے لیے تعاون کرنا آسان بناتے ہیں — جیسے زوم اور اینی ڈیسک — نہ صرف ان کے لیے مقبول اہداف بن گئے ہیں۔ ایپ کے لیے مخصوص خطرات، بلکہ حملہ آوروں کی سوشل انجینئرنگ مہمات کے لیے بھی جو ان چیلنجوں سے فائدہ اٹھانا چاہتے ہیں۔
محققین نے کہا کہ اور جب کہ اب تک زیادہ تر کارپوریٹ کارکنوں کو بہتر جاننا چاہیے، فشنگ حملہ آوروں کے لیے انٹرپرائز نیٹ ورک میں قدم جمانے کا ایک انتہائی کامیاب طریقہ ہے۔ اس وجہ سے، سائبل محققین تجویز کرتے ہیں کہ تمام کاروباری ادارے اپنے نیٹ ورک پر فشنگ ای میلز اور ویب سائٹس کا پتہ لگانے کے لیے سیکیورٹی پروڈکٹس کا استعمال کریں۔ انہوں نے کہا کہ ان کو کارپوریٹ نیٹ ورکس تک رسائی حاصل کرنے والے موبائل آلات تک بھی بڑھایا جانا چاہیے۔
محققین نے کہا کہ انٹرپرائزز کو ملازمین کو غیر بھروسہ مند ذرائع سے ای میل منسلکات کھولنے کے ساتھ ساتھ انٹرنیٹ سے پائریٹڈ سافٹ ویئر ڈاؤن لوڈ کرنے کے خطرات سے آگاہ کرنا چاہیے۔ انہیں مضبوط پاس ورڈ استعمال کرنے کی اہمیت کو بھی تقویت دینا چاہئے اور جہاں بھی ممکن ہو ملٹی فیکٹر تصدیق کو نافذ کرنا چاہئے۔
آخر میں، سائبل محققین نے مشورہ دیا کہ عام اصول کے طور پر، کاروباری اداروں کو URLs کو بلاک کرنا چاہیے — جیسے Torrent/Warez سائٹس — جنہیں میلویئر پھیلانے کے لیے استعمال کیا جا سکتا ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/threat-intelligence/sneaky-stealer-woos-remote-workers-fake-zoom-downloads
- 7
- a
- ہمارے بارے میں
- تک رسائی حاصل
- تک رسائی حاصل
- اکاؤنٹ
- کے پار
- سرگرمیوں
- سرگرمی
- کام کرتا ہے
- ایڈوب
- اشتھارات
- تمام
- اور
- سالانہ
- ظاہر
- ایپلی کیشنز
- ایپس
- پہلو
- کی توثیق
- دستیاب
- پس منظر
- چارہ
- کیونکہ
- بن
- پیچھے
- کیا جا رہا ہے
- بہتر
- بائنس
- بٹ کوائن
- بلاک
- بلاگ
- بک مارکس
- برانڈز
- دلیری سے مقابلہ
- خلاف ورزیوں
- براؤزر
- براؤزر
- کاروبار
- مہم
- مہمات
- قبضہ
- احتیاط سے
- چیلنجوں
- چیک
- کروم
- کلائنٹس
- کوڈ
- تعاون
- جمع
- مل کر
- کمپیوٹر
- اندیشہ
- جاری
- جاری ہے
- کنٹرول
- کوکیز
- کارپوریٹ
- تخلیق
- بنائی
- اسناد
- کرپٹو
- کرپٹٹو بٹوے
- خطرات
- گہرا
- گہرا ویب
- اعداد و شمار
- ڈیٹا برش
- dc
- نجات
- ترسیل
- تعینات
- تفصیلات
- پتہ چلا
- کے الات
- ڈائریکٹریز
- منتشر
- دکھاتا ہے
- ڈومینز
- ڈاؤن لوڈ، اتارنا
- ڈاؤن لوڈز
- آسان
- ایج
- تعلیم
- ای میل
- ای میل
- ملازمین
- انجنیئرنگ
- کو یقینی بنانے ہے
- انٹرپرائز
- اداروں
- ماحولیات
- حتمی
- آخر میں
- پھانسی
- پھانسی
- ملانے
- جعلی
- خصوصیات
- فائل
- فائلوں
- مالی
- فائر فاکس
- پہلا
- پیچھے پیچھے
- فارم
- ملا
- سے
- حاصل کرنا
- جنرل
- دی
- گوگل
- انتہائی
- تاریخ
- تاہم
- HTTPS
- انسانی
- کی نشاندہی
- فوری طور پر
- اہمیت
- in
- شامل
- شامل ہیں
- سمیت
- معلومات
- معلومات
- ابتدائی
- انسٹال کرنا
- انٹرنیٹ
- ملوث
- IT
- جنوری
- جان
- جاننا
- لیوریج
- LINK
- لنکس
- مشین
- مشینیں
- بنا
- میلویئر
- انتظام
- مینیجر
- مینڈیٹ
- پیغام
- پیغام رسانی
- طریقوں
- مائیکروسافٹ
- موبائل
- موبائل آلات
- ماڈل
- زیادہ
- سب سے زیادہ
- ملفیکٹور کی توثیق
- نام
- نیٹ ورک
- نیٹ ورک
- نئی
- نوٹ پیڈ + +
- تعداد
- اعتراض
- ایک
- کھولنے
- اوپرا
- حکم
- OS
- دیگر
- دیگر
- دوسری صورت میں
- مجموعی طور پر
- وبائی
- حصہ
- پاس ورڈ
- پاس ورڈز
- انجام دیں
- فش
- فشنگ
- فشنگ سائٹس
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- مقبول
- ممکن
- کی روک تھام
- حاصل
- شائع
- خرید
- ازگر
- وصول کنندگان
- سفارش
- مضبوط
- باقی
- ریموٹ
- دور دراز کارکنان
- جواب
- محققین
- متعلقہ
- جواب
- جواب
- حکمرانی
- چل رہا ہے
- کہا
- اسکرین شاٹس
- تلاش کریں
- سیکورٹی
- بھیجنا
- حساس
- سیریز
- سنگین
- سروسز
- ہونا چاہئے
- سائٹس
- سلائڈنگ
- ڈرپوک
- So
- سماجی
- معاشرتی انجینرنگ
- سافٹ ویئر کی
- کچھ
- کسی
- ذرائع
- سپیم سے
- مخصوص
- پھیلانے
- بیان
- بیانات
- چراغ
- چوری
- مضبوط
- کامیاب
- اس طرح
- کے نظام
- لے لو
- ہدف
- ھدف بنائے گئے
- اہداف
- ٹیکنالوجی
- ۔
- ان
- موضوع
- خطرہ
- دھمکی دینے والے اداکار
- کے ذریعے
- وقت
- کرنے کے لئے
- کے آلے
- اوزار
- روایتی
- ٹھیٹھ
- کے تحت
- منفرد
- اپ ڈیٹ کریں
- فوری طور پر
- URL
- استعمال کی شرائط
- رکن کا
- صارفین
- مختلف
- ویریزون
- ورژن
- کی طرف سے
- وکٹم
- مجازی
- مجازی مشین
- VPN
- بٹوے
- ویب
- ویب سائٹ
- ویب سائٹ
- جس
- جبکہ
- گے
- کھڑکیاں
- بغیر
- کارکنوں
- افرادی قوت۔
- زیفیرنیٹ
- زوم