محققین نے دو فشنگ سائٹس دیکھی ہیں - ایک سسکو ویب پیج کی جعل سازی اور دوسری گرامرلی سائٹ کے طور پر چھپا رہی ہے - جسے خطرہ اداکار "ڈارک ٹورٹیلا" کے نام سے جانا جاتا میلویئر کے خاص طور پر نقصان دہ ٹکڑے کو تقسیم کرنے کے لیے استعمال کر رہے ہیں۔
.NET پر مبنی میلویئر کو مختلف پے لوڈز فراہم کرنے کے لیے کنفیگر کیا جا سکتا ہے اور یہ ان فنکشنز کے لیے جانا جاتا ہے جو اسے بناتے ہیں۔ انتہائی چپکے اور مسلسل ان نظاموں پر جن سے یہ سمجھوتہ کرتا ہے۔
متعدد خطرے والے گروپس کم از کم 2015 سے ڈارک ٹورٹیلا کا استعمال کر رہے ہیں تاکہ معلومات چوری کرنے والوں اور دور دراز تک رسائی والے ٹروجن، جیسے AgentTesla، AsyncRAT اور NanoCore کو چھوڑ دیں۔ کچھ رینسم ویئر گروپس بھی — جیسے بابوک کے آپریٹرز — نے اپنے پے لوڈ ڈیلیوری چین کے حصے کے طور پر ڈارک ٹورٹیلا کا استعمال کیا ہے۔ ان میں سے بہت سی مہموں میں، حملہ آوروں نے بنیادی طور پر غیر مشتبہ صارفین کو میلویئر میں سمیٹنے کے لیے اسپام ای میلز میں بدنیتی پر مبنی فائل اٹیچمنٹ (.zip، .img، .iso) کا استعمال کیا ہے۔
ڈارک ٹورٹیلا ڈیلیوری بذریعہ فشنگ سائٹس
حال ہی میں، سائبل ریسرچ اینڈ انٹیلی جنس لیبز کے محققین نے ایک بدنیتی پر مبنی مہم کی نشاندہی کی ہے جہاں دھمکی دینے والے عناصر مالویئر کو تقسیم کرنے کے لیے دو فشنگ سائٹس کا استعمال کر رہے ہیں، جو کہ جائز سائٹس کے طور پر نقاب پوش ہیں۔ سائبل نے اندازہ لگایا کہ مہم چلانے والے ممکنہ طور پر سپیم ای میل یا آن لائن اشتہارات کو دو سائٹس کے لنکس تقسیم کرنے کے لیے استعمال کر رہے ہیں۔
جو صارفین جعل سازی والی گرامرلی ویب سائٹ کے لنک کو فالو کرتے ہیں وہ "GnammanlyInstaller.zip" نامی ایک بدنیتی پر مبنی فائل ڈاؤن لوڈ کرتے ہیں جب وہ "Gt Grammarly" بٹن پر کلک کرتے ہیں۔ .zip فائل میں ایک بدنیتی پر مبنی انسٹالر ہوتا ہے جس میں گرامرلی ایگزیکیوٹیبل کا روپ دھارا جاتا ہے جو ایک سیکنڈ گرتا ہے، 32 بٹ انکرپٹڈ .NET ایگزیکیوٹیبل۔ اس کے نتیجے میں حملہ آور کے زیر کنٹرول ریموٹ سرور سے ایک انکرپٹڈ DLL فائل ڈاؤن لوڈ ہوتی ہے۔ سائبل نے کہا کہ .NET ایگزیکیوٹیبل انکرپٹ شدہ DLL فائل کو ڈیکرپٹ کرتا ہے اور اسے کمپرومائزڈ سسٹم کی میموری میں لوڈ کرتا ہے، جہاں یہ مختلف قسم کی بدنیتی پر مبنی سرگرمیاں انجام دیتا ہے۔
اس دوران سسکو فشنگ سائٹ سسکو کی سیکیور کلائنٹ وی پی این ٹیکنالوجی کے لیے ڈاؤن لوڈ صفحہ کی طرح نظر آتی ہے۔ لیکن جب صارف پروڈکٹ کو "آرڈر" کرنے کے لیے بٹن پر کلک کرتا ہے، تو وہ اس کے بجائے ریموٹ حملہ آور کے زیر کنٹرول سرور سے ایک بدنیتی پر مبنی VC++ فائل ڈاؤن لوڈ کر لیتے ہیں۔ میلویئر کارروائیوں کی ایک سیریز کو متحرک کرتا ہے جو سمجھوتہ کرنے والے سسٹم پر نصب ڈارک ٹورٹیلا کے ساتھ ختم ہوتا ہے۔
سائبل کا پے لوڈ کا تجزیہ مستقل مزاجی، انجیکشن پر عمل کرنے، اینٹی وائرس اور ورچوئل مشین/سینڈ باکس چیک کرنے، جعلی پیغامات کی نمائش، اور اس کے کمانڈ اینڈ کنٹرول (C2) سرور کے ساتھ بات چیت کرنے اور اس سے اضافی پے لوڈز ڈاؤن لوڈ کرنے کے لیے میلویئر پیکنگ کے افعال دکھائے۔
سائبل کے محققین نے پایا کہ مثال کے طور پر کسی متاثرہ سسٹم پر استقامت کو یقینی بنانے کے لیے، DarkTortilla سسٹم کے اسٹارٹ اپ فولڈر میں اپنی ایک کاپی ڈالتا ہے اور Run/Winlogin رجسٹری اندراجات بناتا ہے۔ ایک اضافی استقامت کے طریقہ کار کے طور پر، DarkTortilla متاثرہ سسٹم پر "system_update.exe" کے نام سے ایک نیا فولڈر بھی بناتا ہے اور خود کو فولڈر میں کاپی کرتا ہے۔
نفیس اور خطرناک میلویئر
دریں اثناء DarkTortilla کی جعلی میسج کی فعالیت بنیادی طور پر متاثرین کو Grammarly یا Cisco ایپلیکیشن پر یقین دلانے کے لیے پیغامات فراہم کرتی ہے جس پر وہ عمل درآمد کرنے میں ناکام رہے کیونکہ ان کے سسٹم پر کچھ منحصر ایپلی کیشن کے اجزاء دستیاب نہیں تھے۔
سائبل کے محققین نے پیر کی ایک ایڈوائزری میں کہا کہ "DarkTortilla میلویئر انتہائی نفیس .NET پر مبنی میلویئر ہے جو جنگل میں صارفین کو نشانہ بناتا ہے۔" "فشنگ سائٹس سے ڈاؤن لوڈ کی گئی فائلیں انفیکشن کی مختلف تکنیکوں کی نمائش کرتی ہیں، جس سے یہ ظاہر ہوتا ہے کہ [خطرے کے اداکاروں] کے پاس ایک جدید ترین پلیٹ فارم ہے جو مختلف اختیارات کا استعمال کرتے ہوئے بائنری کو اپنی مرضی کے مطابق بنانے اور مرتب کرنے کے قابل ہے۔"
DarkTortilla، جیسا کہ ذکر کیا گیا ہے، اکثر اضافی میلویئر کے لیے پہلے مرحلے کے لوڈر کے طور پر کام کرتا ہے۔ اس سال کے شروع میں Secureworks کے کاؤنٹر تھریٹ یونٹ کے محققین نے خطرے والے اداکاروں کی نشاندہی کی جو DarkTortilla کا استعمال کرتے ہوئے میلویئر کی ایک وسیع رینج کو بڑے پیمانے پر تقسیم کرتے ہیں، بشمول Remcos، BitRat، WarzoneRat، Snake Keylogger، LokiBot، QuasarRat، NetWire، اور DCRat۔
انہوں نے کچھ مخالفوں کی بھی نشاندہی کی جو ڈیلیور کرنے کے لیے ٹارگٹ حملوں میں مالویئر کا استعمال کرتے ہیں۔ کوبالٹ اسٹرائیک اور Metasploit پوسٹ کمپرومائز اٹیک کٹس۔ اس وقت، Secureworks نے کہا کہ اس نے کم از کم 10,000 منفرد ڈارک ٹورٹیلا کے نمونے گن لیے ہیں کیونکہ اس نے پہلی بار ایک خطرے والے اداکار کو دیکھا جس میں میلویئر کا استعمال کرتے ہوئے حملے میں مائیکروسافٹ ایکسچینج کے ریموٹ کوڈ پر عمل درآمد کے خطرے کو نشانہ بنایا گیا تھا۔CVE-2021-34473) آخری سال.
Secureworks نے DarkTortilla کو بہت خطرناک قرار دیا کیونکہ اس کی اعلیٰ سطح کی ترتیب اور اس کے کوڈ کو مبہم کرنے کے لیے CofuserEX اور DeepSea جیسے اوپن سورس ٹولز کے استعمال کی وجہ سے۔ Secureworks نے اس وقت نوٹ کیا کہ حقیقت یہ ہے کہ DarkTortilla کا مرکزی پے لوڈ مکمل طور پر میموری میں ہوتا ہے ایک اور خصوصیت ہے جو میلویئر کو خطرناک اور تلاش کرنا مشکل بنا دیتی ہے۔
