क्लाउडएसईके का कहना है कि लुम्मा स्टीलर मैलवेयर नकली मानव सत्यापन पृष्ठों के माध्यम से विंडोज डिवाइसों में फैल रहा है

हाल ही में पहचाने गए सूचना चुराने वाले मैलवेयर लुम्मा स्टीलर को नकली मानव सत्यापन पृष्ठों के माध्यम से उपयोगकर्ताओं को वितरित किया जा रहा है। साइबरसिक्यूरिटी फर्म क्लाउडएसईके के शोधकर्ताओं के अनुसार, मैलवेयर विंडोज डिवाइस को लक्षित कर रहा है और संक्रमित डिवाइस से संवेदनशील जानकारी चुराने के लिए डिज़ाइन किया गया है। चिंताजनक रूप से, शोधकर्ताओं ने कई फ़िशिंग वेबसाइटों की खोज की है जो उपयोगकर्ताओं को मैलवेयर डाउनलोड करने के लिए धोखा देने के लिए इन नकली सत्यापन पृष्ठों को तैनात कर रहे हैं। क्लाउडएसईके शोधकर्ताओं ने संगठनों को एंडपॉइंट सुरक्षा समाधान लागू करने और कर्मचारियों और उपयोगकर्ताओं को इस नई सोशल इंजीनियरिंग रणनीति के बारे में प्रशिक्षित करने की चेतावनी दी है।

नई फ़िशिंग तकनीक का उपयोग करके लुम्मा स्टीलर मैलवेयर वितरित किया जा रहा है

क्लाउडएसईके के अनुसार प्रतिवेदनकई सक्रिय वेबसाइटें लुम्मा स्टीलर मैलवेयर फैलाती पाई गईं। यह तकनीक सबसे पहले इस्तेमाल की गई थी की खोज की साइबर सुरक्षा फर्म पालो आल्टो नेटवर्क्स के यूनिट42 द्वारा, लेकिन अब माना जा रहा है कि वितरण श्रृंखला का दायरा पहले की अपेक्षा कहीं अधिक बड़ा है।

हमलावरों ने कई दुर्भावनापूर्ण वेबसाइट बनाई हैं और एक नकली मानव सत्यापन प्रणाली जोड़ी है, जो कंप्यूटर और मानव को अलग बताने के लिए Google पूरी तरह से स्वचालित सार्वजनिक ट्यूरिंग परीक्षण (CAPTCHA) पृष्ठ जैसा है। हालाँकि, नियमित CAPTCHA पृष्ठ के विपरीत जहाँ उपयोगकर्ताओं को यह साबित करने के लिए कुछ बॉक्स चेक करने होते हैं या समान पैटर्न-आधारित कार्य करने होते हैं कि वे बॉट नहीं हैं, नकली पृष्ठ उपयोगकर्ता को कुछ असामान्य कमांड चलाने का निर्देश देते हैं।

एक मामले में, शोधकर्ताओं ने एक नकली सत्यापन पृष्ठ देखा, जिसमें उपयोगकर्ताओं से PowerShell स्क्रिप्ट निष्पादित करने के लिए कहा गया था। PowerShell स्क्रिप्ट में कमांड की एक श्रृंखला होती है जिसे रन डायलॉग बॉक्स में निष्पादित किया जा सकता है। इस मामले में, कमांड दूरस्थ सर्वर पर होस्ट की गई a.txt फ़ाइल से सामग्री लाने के लिए पाए गए। इसने एक फ़ाइल को डाउनलोड करने और विंडोज सिस्टम पर निकालने के लिए प्रेरित किया, जिससे यह लुम्मा स्टीलर से संक्रमित हो गया।

रिपोर्ट में उन दुर्भावनापूर्ण URL की भी सूची दी गई है, जो बिना किसी संदेह के उपयोगकर्ताओं को मैलवेयर वितरित करते हुए देखे गए थे। हालाँकि, यह पूरी सूची नहीं है और हो सकता है कि इस तरह की और भी वेबसाइटें हों जो इस हमले को अंजाम दे रही हों।

• hxxps[://]वीर-जिन्न-2b372e[.]नेटलिफाई[.]ऐप/कृपया-सत्यापन-z[.]एचटीएमएल

• hxxps[://]फ़िप्यद्सलाओंगोस[.]बी-सीडीएन[.]नेट/कृपया-सत्यापन-z[.]एचटीएमएल

• hxxps[://]एसडीकेजेएचएफडीएसकेजेएनसीके[.]एस3[.]अमेज़ॉन[.]com/human-verify-system[.]एचटीएमएल

• hxxps[://]सत्यापितमानव476[.]बी-सीडीएन[.]नेट/मानव-सत्यापन-प्रणाली[.]एचटीएमएल

• hxxps[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]आर2[.]देव/मानव-सत्यापन-प्रणाली[.]एचटीएमएल

• hxxps[://]सत्यापितमानव476[.]बी-सीडीएन[.]नेट/मानव-सत्यापन-प्रणाली[.]एचटीएमएल

• hxxps[://]न्यूवीडियोज़ोन[.]क्लिक/सत्यापन[.]एचटीएमएल

• hxxps[://]च3[.]डीएलवीडियोफ्री[.]क्लिक/मानव-सत्यापन-प्रणाली[.]एचटीएमएल

• hxxps[://]न्यूवीडियोज़ोन[.]क्लिक/सत्यापन[.]एचटीएमएल

• hxxps[://]ऑफसेटवीडियोफ्री[.]क्लिक

शोधकर्ताओं ने यह भी पाया कि इन फर्जी सत्यापन पृष्ठों को फैलाने के लिए कंटेंट डिलीवरी नेटवर्क (CDN) का इस्तेमाल किया जा रहा था। इसके अलावा, हमलावरों को प्रदर्शन से बचने के लिए बेस 64 एन्कोडिंग और क्लिपबोर्ड हेरफेर का उपयोग करते हुए देखा गया। इसी तकनीक का उपयोग करके अन्य मैलवेयर वितरित करना भी संभव है, हालांकि ऐसे उदाहरण अभी तक नहीं देखे गए हैं।

चूंकि हमले का तरीका फ़िशिंग तकनीकों पर आधारित है, इसलिए कोई भी सुरक्षा पैच डिवाइस को संक्रमित होने से नहीं रोक सकता। हालाँकि, कुछ ऐसे कदम हैं जो उपयोगकर्ता और संगठन लुम्मा स्टीलर मैलवेयर से बचाव के लिए उठा सकते हैं।

रिपोर्ट के अनुसार, उपयोगकर्ताओं और कर्मचारियों को इस फ़िशिंग रणनीति के बारे में जागरूक किया जाना चाहिए ताकि वे इसके झांसे में न आएं। इसके अतिरिक्त, संगठनों को पावरशेल-आधारित हमलों का पता लगाने और उन्हें रोकने के लिए विश्वसनीय एंडपॉइंट सुरक्षा समाधान लागू करने और बनाए रखने चाहिए। इसके अलावा, लुम्मा स्टीलर मैलवेयर द्वारा शोषण की जा सकने वाली कमज़ोरियों को कम करने के लिए नियमित रूप से सिस्टम को अपडेट और पैच करना भी मददगार हो सकता है।