विंडोज के लिए स्नेक कीलॉगर मालवेयर का उपयोग करने वाले साइबर अपराधी कंप्यूटर में एम्बेडेड वर्ड दस्तावेजों के साथ दुर्भावनापूर्ण पीडीएफ भेज रहे हैं ताकि जानकारी को संक्रमित और चोरी किया जा सके।
एचपी के वुल्फ सिक्योरिटी के सुरक्षा विश्लेषकों के अनुसार, जिन्होंने हाल ही में पीडीएफ वायरस अभियान की पहचान की है, दुर्भावनापूर्ण पीडीएफ आजकल उपयोग करने के लिए एक असामान्य उपकरण है क्योंकि हमलावर वर्ड और एक्सेल जैसे कार्यालय प्रारूपों का पक्ष लेते हैं, जो पीसी उपयोगकर्ताओं के लिए अधिक परिचित हैं।
निष्कर्षों के अनुसार, स्नेक, एक कीलॉगर और क्रेडेंशियल चोरी करने वाला, जिसे पहली बार नवंबर 2020 के अंत में खोजा गया था, का उपयोग पीसी को संक्रमित पीडीएफ से संक्रमित करने के लिए किया गया था।
हमलावरों ने एक पीडीएफ अटैचमेंट के साथ एक ईमेल भेजा जिसमें “पीडीएफ, जेपीईजी, एक्सएलएसएक्स, और . डॉक्स अपवाद हैं”। यह देखते हुए कि Adobe Reader यह पुष्टि करते समय प्रदर्शित करता है कि उपयोगकर्ता इस फ़ाइल को खोलना स्वीकार करता है या नहीं, Word दस्तावेज़ के लिए इस असामान्य और वास्तव में सुंदर भ्रामक फ़ाइल नाम को चुनने का कारण स्पष्ट हो जाता है।
तो क्या हो सकता है कि एक कर्मचारी गलती से विश्वास कर सकता है कि फ़ाइल की जांच की गई है और खोलने के लिए सुरक्षित है।
जब प्राप्तकर्ता “इस फ़ाइल को खोलें” पर क्लिक करता है, तो Microsoft Word लॉन्च होता है। यदि संरक्षित दृश्य अक्षम है, तो Word एक वेब सर्वर से एक रिच टेक्स्ट फ़ॉर्मेट (.rtf) फ़ाइल डाउनलोड करता है और इसे HP के अनुसार, खुले दस्तावेज़ के संदर्भ में चलाता है।
यहां एक बात समझने की जरूरत है कि माइक्रोसॉफ्ट ऑफिस डिफ़ॉल्ट रूप से ऑफिस के लिए प्रोटेक्टेड व्यू या एप्लिकेशन गार्ड में इंटरनेट दस्तावेज खोलता है।
हालांकि, एचपी विशेषज्ञों ने एक अनधिकृत यूआरएल की खोज की जिससे वर्ड दस्तावेज़ का अध्ययन करने के बाद एक बाहरी ऑब्जेक्ट लिंकिंग और एम्बेडिंग (ओएलई) ऑब्जेक्ट लोड किया गया था। OLE ऑब्जेक्ट में शेलकोड भी होता है जो CVE-2017-11882 का उपयोग करता है, जो Microsoft Office समीकरण संपादक में एक प्रसिद्ध रिमोट कोड निष्पादन भेद्यता है।
रिपोर्ट में, इसने कहा: “स्नेक को तैनात करने के लिए हमने देखा है कि पहले प्रकार के डाउनलोडर आरटीएफ दस्तावेज हैं जिनमें प्रसिद्ध माइक्रोसॉफ्ट ऑफिस समीकरण संपादक शोषण (सीवीई-2017-11882) शामिल हैं।”
“दस्तावेजों का नाम बदलकर .DOC फ़ाइल एक्सटेंशन कर दिया गया और वैध व्यावसायिक संचार के रूप में थीम वाले ईमेल से जोड़ा गया। यदि प्राप्तकर्ता माइक्रोसॉफ्ट ऑफिस का एक कमजोर संस्करण चलाता है, तो शोषण एक दूरस्थ सर्वर से एक निष्पादन योग्य डाउनलोड करता है और इसे निष्पादित करता है। यह फ़ाइल स्नेक कीलॉगर का पैक्ड संस्करण है, ”शोध रिपोर्ट में कहा गया है।
इस अभियान (सीवीई-2017-11882) में शोषित भेद्यता चार साल से अधिक पुरानी है, लेकिन इसका अभी भी उपयोग किया जा रहा है, यह दर्शाता है कि शोषण अभी भी हमलावरों के लिए प्रभावी है, एचपी ने कहा।
शोधकर्ताओं के अनुसार, जब से पहली बार स्नेक की पहचान की गई थी, तब से इस मैलवेयर को फैलाने के अभियान लगभग रोजाना देखे जा रहे हैं। एचपी विश्लेषण में पाया गया कि पिछले दो वर्षों में सक्रिय पांच कीलॉगर परिवारों के लिए कोड आधार सबसे अधिक समान है।
एचपी विश्लेषण ने समझाया कि यह एक संपूर्ण सूची नहीं है, इसलिए यह संभव है कि समान कोड वाले अन्य कीलॉगर भी प्रचलन में हों।
“स्थापित मैलवेयर परिवारों से स्रोत कोड को अवसरवादी रूप से कॉपी करने का यह ‘रीमिक्स’ व्यवहार दर्शाता है कि साइबर अपराधियों के लिए अपने स्वयं के मैलवेयर-एज़-सर्विस व्यवसाय बनाना कितना आसान है – और मैलवेयर डेवलपर्स से आगे रहने के लिए उद्यम सुरक्षा के लिए महत्व,” यह पढ़ा।
सभी पढ़ें ताजा खबर , आज की ताजा खबर और आईपीएल 2022 लाइव अपडेट यहाँ।
.