हमारे द्वारा अब तक देखे गए सबसे बड़े आईटी आउटेज में से एक के वर्तमान परिणामों के बीच, क्राउडस्ट्राइक ने चेतावनी दी है कि साइबर अपराधी नकली पैच के साथ प्रभावित व्यवसायों को लक्षित कर रहे हैं।
साइबर सुरक्षा कंपनी ने एक जारी किया ब्लॉग ग्राहकों को चेतावनी दें कि बुरे अभिनेता उनके नेटवर्क पर मैलवेयर फैलाने के लिए नकली पुनर्प्राप्ति मैनुअल वितरित कर रहे थे।
रिपोर्ट के अनुसार, क्राउडस्ट्राइक इंटेलिजेंस ने मैक्रोज़ वाले एक वर्ड दस्तावेज़ की पहचान की, जो इन्फोस्टीलर मैलवेयर के एक अज्ञात स्ट्रेन को डाउनलोड करता है, जिसे ब्लॉग “डाओलपु” कहता है।
डिकॉय दस्तावेज़ सिस्टम पर Daolpu सूचना चुराने वाले को लोड करने के लिए DLL फ़ाइलों को पुनर्प्राप्त और निष्पादित करने के लिए दुर्भावनापूर्ण मैक्रोज़ का उपयोग करता है, जो क्रोम और क्रोम ब्राउज़र में संग्रहीत लॉगिन डेटा और कुकीज़ सहित क्रेडेंशियल एकत्र करता है।
यूके नेशनल साइबर सिक्योरिटी सेंटर (एनसीएससी) ने एक प्रकाशित किया है चेतावनी 19 जुलाई को, उपयोगकर्ताओं को क्राउडस्ट्राइक आउटेज से संबंधित फ़िशिंग हमलों की बढ़ती मात्रा के प्रति सतर्क रहने की चेतावनी दी गई।
“इस आउटेज को संदर्भित करने वाले फ़िशिंग प्रयासों में वृद्धि पहले ही देखी जा चुकी है, अवसरवादी बुरे कलाकार स्थिति का लाभ उठाने की कोशिश कर रहे हैं। ये हमले संगठनों और व्यक्तियों दोनों को निशाना बना सकते हैं, ”एजेंसी ने कहा।
मैलवेयर विश्लेषण विशेषज्ञ ANY.RUN ने बताया है कि दोषपूर्ण क्राउडस्ट्राइक अपडेट के कारण होने वाली समस्याओं का समाधान ढूंढते समय उपयोगकर्ता अनजाने में अपने पूरे सिस्टम को कैसे नष्ट कर सकते हैं।
कंपनी प्रकाशित किया गया हमलावर क्राउडस्ट्राइक अपडेट के रूप में डेटा-वाइपिंग मैलवेयर वितरित करते हैं, जो शून्य बाइट्स के साथ फ़ाइलों को ओवरराइट करके और टेलीग्राम पर रिपोर्ट करके सिस्टम को “नष्ट” कर देता है।
उसी अभियान पर चर्चा करते हुए, सुरक्षा शोधकर्ता g0njxa ने दावा किया कि समूह BBVA बैंक को लक्षित कर रहा था, जबकि 19 जुलाई को क्राउडस्ट्राइक के एक ब्लॉग पोस्ट में एक दुर्भावनापूर्ण ज़िप संग्रह फ़ाइल को एक पैच के रूप में वितरित किया गया था जिसमें स्पेनिश में निर्देश थे जो उपयोगकर्ता को इसमें शामिल निष्पादन योग्य फ़ाइल को चलाने की सलाह देते थे। पुरालेख।
इस ज़िप फ़ाइल में HijackLoader मैलवेयर लोडर भी शामिल है, जो सिस्टम पर “Remcos RAT” नामक रिमोट एक्सेस ट्रोजन स्थापित करता है।
व्यवसायों को क्राउडस्ट्राइक के त्वरित समाधान के रूप में छिपे मैलवेयर से सावधान रहना चाहिए
एपीआई सुरक्षा कंपनी सीक्वेंस के हैकर जेसन केंट ने कहा कि यह इस बात का नवीनतम उदाहरण है कि साइबर अपराधी कितनी जल्दी अपने हमलों को वर्तमान घटनाओं के अनुसार अनुकूलित कर सकते हैं।
उन्होंने चेतावनी दी, “बदलते साइबर सुरक्षा परिदृश्य में, मैलवेयर और डेटा मिटाने वाले टूल के साथ व्यवसायों को लक्षित करने वाले नकली क्राउडस्ट्राइक पैच से जुड़ी हालिया घटना एक स्पष्ट अनुस्मारक है कि साइबर अपराधी हमेशा व्यक्तियों और संगठनों को धोखा देने के लिए अवसरवादी और भ्रामक खोज में रहते हैं।”
“इस प्रकार का हमला कोई नई बात नहीं है: हैकर्स बिना सोचे-समझे उपयोगकर्ताओं को धोखा देने के लिए नियमित रूप से समाचारों और विश्वसनीय ब्रांडों का फायदा उठाते हैं। आपके द्वारा क्लिक किए जाने वाले लिंक के बारे में बेहद सावधान रहना आवश्यक है। »
केंट ने कहा, “त्वरित समाधान” के रूप में वर्णित किसी भी समाधान को सावधानी से व्यवहार किया जाना चाहिए।
“विशेषकर जब समाधान त्वरित समाधान के रूप में प्रस्तुत किए जाते हैं, तो उन्हें लागू करने से पहले उनकी प्रामाणिकता को सत्यापित करना महत्वपूर्ण है। उदाहरण के लिए, दुर्भावनापूर्ण डोमेन “crowdstrike.a.com” पहली नज़र में वैध लग सकता है, लेकिन यह प्रामाणिक “a.crowdstrike.com” से बहुत दूर है। यह सूक्ष्म अंतर यूआरएल के साथ बातचीत करने से पहले सावधानीपूर्वक समीक्षा करने के महत्व पर प्रकाश डालता है। »
परिणामस्वरूप, कॉफेंस में साइबर खतरा खुफिया प्रमुख मैक्स गैनन ने आउटेज से प्रभावित लोगों को यह सत्यापित करने की सलाह दी कि वे आधिकारिक क्राउडस्ट्राइक प्रतिनिधि के साथ संवाद करते हैं।
“जब आप इस तरह की समस्या का सामना करते हैं, तो यह जांचना महत्वपूर्ण है कि आप किससे बात कर रहे हैं। आम तौर पर बातचीत शुरू करने वाला व्यक्ति बनना सबसे अच्छा होता है, क्योंकि बुरे कलाकारों के लिए ध्यान भटकाना तब की तुलना में बहुत कठिन होता है जब आपको किसी जरूरी समाचार विषय के बारे में एक ईमेल प्राप्त होता है जो संदिग्ध लग सकता है लेकिन आप उस पर ध्यान न देने के लिए जल्दबाजी करते हैं। »
गैनन ने कहा कि संभावना है कि हम माइक्रोसॉफ्ट और आउटेज में शामिल अन्य कंपनियों का प्रतिरूपण करते हुए अन्य अभियान देखेंगे, जिसमें व्यवसायों से संभावित घोटालों के लिए हाई अलर्ट पर रहने का आग्रह किया जाएगा।
“हमने बुरे अभिनेताओं को क्राउडस्ट्राइक का रूप धारण करते और सार्वजनिक रूप से स्वामित्व का दावा करते देखा है, लेकिन हम बुरे अभिनेताओं को माइक्रोसॉफ्ट और सभी प्रभावित कंपनियों का प्रतिरूपण करते हुए भी देख सकते हैं, जिसमें घटना के संबंध में उनकी अपनी कंपनी के ‘अपडेट’ भी शामिल हैं।”, उन्होंने समझाया।
“समाचारों में दिखाई देने वाली किसी भी चीज़ की तरह, यदि आपको इस बारे में कोई ईमेल प्राप्त होता है, तो आपको विषय की निहित तात्कालिकता के आगे झुकने के बजाय स्थिति का आकलन करने के लिए समय देना चाहिए। »
क्राउडस्ट्राइक ने अपने ब्लॉग में डाओलू सूचना चुराने वाले का वर्णन करते हुए इस सलाह को दोहराया, और कहा कि उपयोगकर्ताओं को “%TMP% में परिणाम.txt” नामक फ़ाइल की तलाश करनी चाहिए जो डाओल्पू संक्रमण का संकेत दे सकती है।
