MacOS இன்ஃபோஸ்டீலரின் புதிய மாறுபாடு ‘SHub’ ஒரு போலி பாதுகாப்பு புதுப்பிப்பு செய்தியைக் காட்ட AppleScript ஐப் பயன்படுத்துகிறது மற்றும் பின்கதவை நிறுவுகிறது.
ரீப்பர் என அழைக்கப்படும், புதிய பதிப்பு முக்கியமான உலாவித் தரவைத் திருடுகிறது, நிதி விவரங்களைக் கொண்ட ஆவணங்கள் மற்றும் கோப்புகளை சேகரிக்கிறது மற்றும் கிரிப்டோகரன்சி பயன்பாடுகளை கடத்துகிறது.
“ClickFix” உத்திகளை நம்பிய முந்தைய SHub பிரச்சாரங்களைப் போலல்லாமல், டெர்மினலில் கட்டளைகளை ஒட்டுவதற்கும் இயக்குவதற்கும் பயனர்களை ஏமாற்றி, தீங்கிழைக்கும் AppleScript உடன் முன்பே ஏற்றப்பட்ட macOS ஸ்கிரிப்ட் எடிட்டரைத் தொடங்க ரீப்பர் applescript:// URL திட்டத்தை நம்பியுள்ளது.
இந்த அணுகுமுறை டெர்மினல் அடிப்படையிலான தணிப்புகளை மேகோஸ் தாஹோ 26.4 உடன் ஆப்பிள் மார்ச் மாத இறுதியில் அறிமுகப்படுத்தியது, இது தீங்கு விளைவிக்கும் கட்டளைகளை ஒட்டுவதையும் செயல்படுத்துவதையும் தடுக்கிறது.
SentinelOne ஆராய்ச்சியாளர்கள் புதிய SHub infostealer மாறுபாட்டைக் கண்டறிந்தனர் மற்றும் குறைந்த அனுபவமுள்ள பயனர்களுக்கு (எ.கா. qq-0732gwh22) சட்டப்பூர்வமாகத் தோன்றும் வகையில் உருவாக்கப்பட்ட டொமைன்களில் ஹோஸ்ட் செய்யப்பட்ட WeChat மற்றும் Miro பயன்பாடுகளுக்கான போலி நிறுவி மூலம் பயனர்கள் ஈர்க்கப்பட்டதைக் கண்டறிந்தனர்.[.]com, mlcrosoft[.]கோ.[.]com, mlroweb[.]com).
தற்போது, போலி QQ மற்றும் Microsoft டொமைன்கள் இன்னும் போலி WeChat நிறுவிகளுக்கு சேவை செய்கின்றன, அதே நேரத்தில் Miro காட்சி ஒத்துழைப்பு இயங்குதள ஆள்மாறாட்டம் முறையான இணையதளத்திற்குத் திருப்பி விடப்படுகிறது.
விண்டோஸ் மற்றும் ஆண்ட்ராய்டு பதிவிறக்க பொத்தான்கள் டிராப்பாக்ஸ் கணக்கில் ஹோஸ்ட் செய்யப்பட்ட அதே எக்ஸிகியூட்டபிள் சேவையை வழங்குவதை BleepingComputer கவனித்தது.
AppleScript ஐப் பயன்படுத்துவதற்கு முன், தீங்கிழைக்கும் இணையதளங்கள், மெய்நிகர் இயந்திரங்கள் மற்றும் VPNகளை சரிபார்க்க பார்வையாளர்களின் சாதனத்தில் கைரேகையைப் பயன்படுத்துகின்றன, இது ஒரு பகுப்பாய்வு இயந்திரத்தை சுட்டிக்காட்டி கடவுச்சொல் நிர்வாகிகள் மற்றும் கிரிப்டோகரன்சி வாலெட்டுகளுக்கான நிறுவப்பட்ட உலாவி நீட்டிப்புகளை பட்டியலிடலாம். அனைத்து டெலிமெட்ரி தரவுகளும் டெலிகிராம் போட் மூலம் தாக்குபவர்களுக்கு வழங்கப்படும்.
இன்றைய SentinelOne அறிக்கை, பேலோடை எடுக்கும் கட்டளையுடன் கூடிய ஸ்கிரிப்ட் மாறும் வகையில் கட்டமைக்கப்பட்டு ASCII கலையின் கீழ் மறைக்கப்பட்டுள்ளது என்று குறிப்பிடுகிறது.
ஆதாரம்: SentinelOne
பாதிக்கப்பட்டவர் “ரன்” என்பதைக் கிளிக் செய்யும் போது, ஸ்கிரிப்ட் XProtectRemediator ஐக் குறிக்கும் போலியான ஆப்பிள் பாதுகாப்பு புதுப்பிப்பு செய்தியைக் காட்டுகிறது, “கர்ல்” ஐப் பயன்படுத்தி ஷெல் ஸ்கிரிப்டைப் பதிவிறக்குகிறது மற்றும் அதை “zsh” வழியாக அமைதியாகச் செயல்படுத்துகிறது.
அதன் தரவுத் திருடும் தர்க்கத்தைச் செயல்படுத்துவதற்கு முன், மால்வேர் பாதிக்கப்பட்டவர் ரஷ்ய விசைப்பலகை/உள்ளீட்டைப் பயன்படுத்துகிறாரா என்பதைத் தீர்மானிக்க கணினிச் சரிபார்ப்பைச் செய்கிறது, மேலும் ஏதேனும் பொருத்தம் இருந்தால், கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திற்கு (C2) “cis_blocked” நிகழ்வைப் புகாரளித்து கணினியைப் பாதிக்காமல் வெளியேறுகிறது.
ஹோஸ்ட் ரஷ்யனாக இல்லாவிட்டால், MacOS இல் கட்டமைக்கப்பட்ட ஓசாஸ்கிரிப்ட் கட்டளை வரி கருவியைப் பயன்படுத்தி, தரவுத் திருடும் வழக்கத்துடன் தீங்கிழைக்கும் ஆப்பிள்ஸ்கிரிப்டை ரீப்பர் எடுத்து செயல்படுத்துகிறார்.
துவக்கத்தில், இது பயனரை அவர்களின் மேகோஸ் கடவுச்சொல்லைத் தூண்டுகிறது, பின்னர் இது கீச்சின் உருப்படிகளை அணுகவும், நற்சான்றிதழ்களை மறைகுறியாக்கவும் மற்றும் பாதுகாக்கப்பட்ட தரவை அணுகவும் பயன்படுத்தப்படலாம். பின்னர், தகவல் திருட்டு பின்வருவனவற்றை குறிவைக்கிறது:
- Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc மற்றும் Orion இலிருந்து உலாவி தரவு
- MetaMask மற்றும் Phantom உள்ளிட்ட Cryptocurrency Wallet உலாவி நீட்டிப்புகள்
- 1Password, Bitwarden மற்றும் LastPass உள்ளிட்ட கடவுச்சொல் நிர்வாகி உலாவி நீட்டிப்புகள்
- Exodus, Atomic Wallet, Ledger Live, Electrum மற்றும் Trezor Suite உள்ளிட்ட டெஸ்க்டாப் கிரிப்டோகரன்சி வாலட் பயன்பாடுகள்
- iCloud கணக்கு தரவு
- டெலிகிராம் அமர்வு தரவு
- டெவலப்பர்கள் தொடர்பான உள்ளமைவு கோப்புகள்
ரீப்பரில் “Filegrabber” தொகுதியும் உள்ளது, இது டெஸ்க்டாப் மற்றும் ஆவணங்கள் கோப்புறைகளில் முக்கியமான தகவல்களைக் கொண்டிருக்கும் கோப்பு வகைகளைத் தேடுகிறது. இது PNG படக் கோப்புகளுக்கு 2MB அல்லது 6MB வரை சிறிய இலக்கு கோப்புகளை சேகரிக்கிறது, மொத்த அளவு வரம்பு 150MB ஆக அமைக்கப்பட்டுள்ளது.
ஆதாரம்: SentinelOne
வாலட் பயன்பாடுகள் இருக்கும் போது, அது அவற்றின் செயல்முறைகளை நிறுத்துவதன் மூலம் அவற்றை அபகரிக்கிறது மற்றும் செயலியின் சட்டபூர்வமான மையக் கோப்பைப் பதிலாக, கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திலிருந்து (C2) பதிவிறக்கம் செய்யப்பட்ட app.asar எனப்படும் தீங்கிழைக்கும் ஒன்றைக் கொண்டு மாற்றுகிறது.
கேட்கீப்பர் விழிப்பூட்டல்களைத் தவிர்க்க, SHub Reaper தீம்பொருள் “தனிமைப்படுத்தப்பட்ட பண்புகளை நீக்குகிறது xattr -cr மற்றும் பயன்படுத்துகிறது AD HOC மாற்றியமைக்கப்பட்ட பயன்பாட்டு தொகுப்பில் குறியீடு கையொப்பமிடுதல்” என்று ஆராய்ச்சியாளர்கள் விளக்குகின்றனர்.
ஆதாரம்: SentinelOne
Google மென்பொருள் புதுப்பிப்பை ஆள்மாறாட்டம் செய்யும் ஸ்கிரிப்டை நிறுவுவதன் மூலம் தீம்பொருள் நிலைத்தன்மையை நிறுவுகிறது மற்றும் LaunchAgent ஐப் பயன்படுத்தி பதிவு செய்கிறது என்று SentinelOne எச்சரிக்கிறது. ஸ்கிரிப்ட் ஒவ்வொரு நிமிடமும் செயல்படுத்தப்படுகிறது மற்றும் சி 2 க்கு கணினி தகவலை அனுப்பும் ஒரு கலங்கரை விளக்கமாக செயல்படுகிறது.
ஸ்கிரிப்ட் ஒரு பேலோடைப் பெற்றால், அதை டிகோட் செய்து தற்போதைய பயனரின் சூழலில் அதை இயக்கலாம், பின்னர் கோப்பை நீக்கலாம், இதனால் தாக்குபவர் இயந்திரத்திற்கு விரிவான அணுகலை வழங்குகிறது.
கூடுதல் தீம்பொருளை அறிமுகப்படுத்த அனுமதிக்கக்கூடிய, சமரசம் செய்யப்பட்ட சாதனங்களுக்கான தொலைநிலை அணுகலைச் சேர்க்க, SHub ஆபரேட்டர் இன்ஃபோஸ்டீலரின் திறன்களை விரிவுபடுத்துகிறது என்று SentinelOne சுட்டிக்காட்டுகிறது.
புதிய SHub Reaper இன்ஃபோ-ஸ்டீலிங் மாறுபாட்டுடன் தொடர்புடைய தீங்கிழைக்கும் நடத்தைக்கு எதிராக பாதுகாப்பாளர்களைப் பாதுகாக்க உதவும் சமரசக் குறிகாட்டிகளின் தொகுப்பை ஆராய்ச்சியாளர்கள் வழங்கியுள்ளனர்.
ஸ்கிரிப்ட் எடிட்டர் அல்லது புதிய LaunchAgents மற்றும் தொடர்புடைய கோப்புகளை நம்பகமான வழங்குநர்கள் பெயர்வெளியில் இயக்கிய பிறகு சந்தேகத்திற்கிடமான வெளிச்செல்லும் போக்குவரத்தைக் கண்காணிக்க SentinelOne பரிந்துரைக்கிறது.
தன்னியக்க பென்டெஸ்டிங் கருவிகள் உண்மையான மதிப்பை வழங்குகின்றன, ஆனால் அவை ஒரு கேள்விக்கு பதிலளிக்க உருவாக்கப்பட்டன: தாக்குபவர் நெட்வொர்க் முழுவதும் செல்ல முடியுமா? உங்கள் கட்டுப்பாடுகள் அச்சுறுத்தல்களைத் தடுக்கிறதா, உங்கள் கண்டறிதல் விதிகள் செயல்படுகின்றனவா அல்லது உங்கள் கிளவுட் உள்ளமைவுகள் பாதுகாக்கப்படுகின்றனவா என்பதைச் சோதிக்கும் வகையில் அவை வடிவமைக்கப்படவில்லை.
இந்த வழிகாட்டி நீங்கள் சரிபார்க்க வேண்டிய 6 மேற்பரப்புகளை உள்ளடக்கியது.
இப்போது பதிவிறக்கவும்
Leave a Reply