வோல்ட்மார்ட் மால்வேர்
கூகுள் ஷீட்ஸை கட்டளை மற்றும் கட்டுப்பாடு (C2) தளமாகப் பயன்படுத்தும் புதிய மால்வேர் பிரச்சாரத்தை சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர்.
ஆகஸ்ட் 2024 இல் ஆராய்ச்சியாளர்களால் கண்டறியப்பட்டது, உலகம் முழுவதும் 70 க்கும் மேற்பட்ட அமைப்புகளை குறிவைத்து தாக்குதல் பிரச்சாரம் ஐரோப்பா, ஆசியா மற்றும் அமெரிக்காவிலிருந்து வரி அதிகாரிகளாக மாறியுள்ளது. தாக்குபவர்கள் வோல்ட்மார்ட் எனப்படும் தனிப்பயன் கருவியைப் பயன்படுத்துகின்றனர், இது தகவல்களைச் சேகரிக்கவும் கூடுதல் தீம்பொருளைப் பயன்படுத்தவும் வடிவமைக்கப்பட்டுள்ளது.
இலக்கு துறைகளில் காப்பீடு, விண்வெளி, போக்குவரத்து, கல்வித்துறை, நிதி, தொழில்நுட்பம், தொழில்துறை, சுகாதாரம், வாகனம், விருந்தோம்பல், ஆற்றல், அரசு, ஊடகம், உற்பத்தி, தொலைத்தொடர்பு மற்றும் சமூக நலன் சார்ந்த நிறுவனங்கள் அடங்கும். சைபர் உளவு பிரச்சாரம் ஒரு குறிப்பிட்ட அச்சுறுத்தல் நடிகருடன் இணைக்கப்படவில்லை என்றாலும், இந்தத் தாக்குதல்களில் 20,000 மின்னஞ்சல்கள் வரை அனுப்பப்பட்டதாக மதிப்பிடப்பட்டுள்ளது.
பொருளடக்கம்
ஆரம்ப சமரச திசையன் தாக்குபவர்களால் சுரண்டப்பட்டது
கண்டுபிடிக்கப்பட்ட மின்னஞ்சல்கள் யுஎஸ், யுகே, பிரான்ஸ், ஜெர்மனி, இத்தாலி, இந்தியா மற்றும் ஜப்பான் ஆகிய நாடுகளில் உள்ள வரி அதிகாரிகளிடமிருந்து வந்ததாகக் கூறுகின்றன, பெறுநர்கள் தங்கள் வரித் தாக்கல் குறித்த புதுப்பிப்புகளைப் பெறுபவர்களுக்குத் தெரிவித்து, அவர்களை இடைத்தரகர்களுக்கு அனுப்பும் Google AMP கேச் URLகளைக் கிளிக் செய்யும்படி அவர்களைத் தூண்டுகிறது. இறங்கும் பக்கம்.
பயனரின் இயக்க முறைமை Windowsதானா என்பதைத் தீர்மானிக்க, இந்தப் பக்கம் பயனர்-ஏஜெண்ட் சரத்தை சரிபார்க்கிறது. அது இருந்தால், பக்கம் தேடல்-ms: URI ப்ரோட்டோகால் ஹேண்ட்லரைப் பயன்படுத்துகிறது, இது ஒரு விண்டோஸ் ஷார்ட்கட் (LNK) கோப்பை அடோப் அக்ரோபேட் ரீடரைப் பயன்படுத்தி ஒரு PDF போல் மாறுவேடமிட்டு, பாதிக்கப்பட்டவரைத் திறக்கும்படி ஏமாற்றும் முயற்சியில் உள்ளது.
LNK கோப்பு செயல்படுத்தப்பட்டால், அது ஒரு WebDAV பங்கிலிருந்து (\library) Python.exe ஐ இயக்க PowerShell ஐத் தூண்டுகிறது, அதே சர்வரில் மற்றொரு பங்கில் (\resource) உள்ள பைதான் ஸ்கிரிப்டை ஒரு வாதமாக அனுப்புகிறது.
சமரசம் செய்யப்பட்ட கணினிகளில் வோல்ட்மார்ட் மால்வேர் எவ்வாறு பயன்படுத்தப்படுகிறது
இந்த முறையானது, WebDAV பகிர்விலிருந்து நேரடியாக ஏற்றப்படும் சார்புகளுடன், கணினியில் எந்தக் கோப்புகளையும் சேமிக்காமல் ஸ்கிரிப்டை இயக்க பைத்தானை அனுமதிக்கிறது.
பைதான் ஸ்கிரிப்ட் கணினித் தகவலைச் சேகரிக்கவும், தாக்குபவர்களால் கட்டுப்படுத்தப்படும் டொமைனுக்கு Base64-குறியீடு செய்யப்பட்ட சரமாக அனுப்பவும் திட்டமிடப்பட்டுள்ளது. பின்னர், இது பயனருக்கு ஒரு decoy PDF ஐக் காண்பிக்கும் மற்றும் OpenDrive இலிருந்து கடவுச்சொல் பாதுகாக்கப்பட்ட ZIP கோப்பைப் பதிவிறக்குகிறது.
ZIP காப்பகத்தில் இரண்டு கோப்புகள் உள்ளன: சட்டப்பூர்வமாக இயங்கக்கூடிய, 'CiscoCollabHost.exe,' இது DLL பக்க ஏற்றுதலால் பாதிக்கப்படக்கூடியது, மேலும் தீங்கிழைக்கும் DLL கோப்பு, 'CiscoSparkLauncher.dll' (Voldemort என அறியப்படுகிறது), இது இயங்கக்கூடியவற்றால் ஓரங்கட்டப்பட்டது.
வோல்ட்மார்ட் மால்வேர் அச்சுறுத்தலின் திறன்கள்
வோல்ட்மார்ட் என்பது C இல் எழுதப்பட்ட ஒரு தனிப்பயன் பின்கதவாகும், இது தகவல் சேகரிப்பு மற்றும் அடுத்த கட்ட பேலோடுகளை ஏற்றுவதற்கான திறன்களுடன் வருகிறது, தீம்பொருள் C2 க்கு Google Sheets ஐப் பயன்படுத்துகிறது, தரவு வெளியேற்றம் மற்றும் ஆபரேட்டர்களிடமிருந்து கட்டளைகளை செயல்படுத்துகிறது.
மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்களுடன் (APT) சீரமைக்கப்பட்ட செயல்பாட்டை ஆராய்ச்சியாளர்கள் விவரித்தனர், ஆனால் இ-குற்றம் நிலப்பரப்பில் பிரபலமான நுட்பங்களைப் பயன்படுத்துவதன் காரணமாக சைபர் கிரைம் பண்புகளைக் கொண்டுள்ளது.
தீம்பொருள் ஸ்டேஜிங்கிற்கான வெளிப்புற கோப்பு-பகிர்வு ஆதாரங்களை அணுக, குறிப்பாக WebDAV மற்றும் சர்வர் மெசேஜ் பிளாக் (SMB) கோப்பு திட்ட யுஆர்ஐகளை அச்சுறுத்தும் நபர்கள் தவறாகப் பயன்படுத்துகின்றனர். ஸ்கீமா' file://' ஐப் பயன்படுத்தி, அச்சுறுத்தும் உள்ளடக்கத்தை ஹோஸ்ட் செய்யும் ரிமோட் சர்வரைச் சுட்டிக்காட்டுவதன் மூலம் இது செய்யப்படுகிறது.
Latrodectus , DarkGate மற்றும் XWor m போன்ற ஆரம்ப அணுகல் தரகர்களாக (IAB கள்) செயல்படும் தீம்பொருள் குடும்பங்களிடையே இந்த அணுகுமுறை பெருகிய முறையில் பரவலாக உள்ளது.
தாக்கியவரின் இலக்கு தெரியவில்லை
தீங்கு விளைவிக்கும் பிரச்சாரம் வழக்கத்திற்கு மாறானதாகக் கருதப்படுகிறது, அச்சுறுத்தல் நடிகர்கள் ஒரு தேர்ந்தெடுக்கப்பட்ட குழுவிற்கு தங்கள் கவனத்தை குறைக்கும் முன், சாத்தியமான பாதிக்கப்பட்டவர்களை ஆரம்பத்தில் குறிவைத்திருக்கலாம். தொழில்நுட்ப நிபுணத்துவத்தின் பல்வேறு நிலைகளைக் கொண்டதாகத் தோன்றும் தாக்குபவர்கள், பல நிறுவனங்களை சமரசம் செய்ய எண்ணியிருக்கலாம்.
பிரச்சாரத்தின் பல அம்சங்கள் வழக்கமான சைபர் கிரைமினல் செயல்பாடுகளை ஒத்திருந்தாலும், இது இன்னும் அறியப்படாத நோக்கங்களை அடைவதை நோக்கமாகக் கொண்ட உளவு முயற்சியாக இருக்கலாம் என்று நாங்கள் நம்புகிறோம். பிரச்சாரத்தின் மேம்பட்ட மற்றும் புத்திசாலித்தனமான தந்திரோபாயங்களின் கலவையானது, சில அடிப்படை நுட்பங்களுடன் இணைந்து, அச்சுறுத்தும் நடிகரின் திறன்களின் மதிப்பீட்டை சிக்கலாக்குகிறது மற்றும் அதிக நம்பிக்கையுடன் அவர்களின் இறுதி இலக்குகளை தீர்மானிப்பது சவாலானது.
