Get best of the week

सुरक्षा सप्ताह 11: खोज इंजन मैलवेयर

20 फरवरी को, उपयोगकर्ताओं के अनुरोध पर खोज परिणामों में विज्ञापनों के उदाहरणों के साथ Habré पर एक अनुनाद पोस्ट दिखाई दी , जो सामान्य सॉफ़्टवेयर डाउनलोड करना चाहते हैं। प्रायोजित लिंक तीसरे पक्ष के संसाधनों का नेतृत्व करते थे, और डेवलपर की आधिकारिक वेबसाइट पर नहीं। पोस्ट के लेखक ने यह नहीं जांचा कि क्या वितरित कार्यक्रम दुर्भावनापूर्ण थे, और एक यैंडेक्स टिप्पणी ने संकेत दिया कि प्रकाशन से पहले इस तरह के विज्ञापन चेक किए गए थे। सबसे अधिक संभावना है, प्रोग्राम स्थापित करने के लिए सॉफ़्टवेयर डेवलपर्स से कमीशन प्राप्त करने वाली साइटें लोकप्रिय प्रश्नों पर विज्ञापित की जाती हैं।


पिछले हफ्ते, Kaspersky Lab के शोधकर्ताओं ने दिखाया कि क्या होता है यदि समान परिदृश्य में सॉफ़्टवेयर अभी भी दुर्भावनापूर्ण हो। लेख XCore पिछले दरवाजे का वर्णन करता है और स्पष्ट रूप से बताता है कि मूल नकल करने वाली वेबसाइटों पर ट्रैफ़िक बढ़ाने के लिए, हमलावरों ने खोज इंजनों पर विज्ञापन लगाए। लेकिन किन लोगों को निर्दिष्ट किए बिना और कब। इसलिए, एक महत्वपूर्ण अस्वीकरण: ऊपर दिए गए लिंक से लेख में विशिष्ट उदाहरण और कास्परस्की लैब अध्ययन सबसे अधिक संबंधित नहीं हैं।

XCore पिछले दरवाजे को वितरित करने के लिए एक बड़े पैमाने पर अभियान में उन पृष्ठों को बनाना शामिल है जो लोकप्रिय सॉफ्टवेयर डेवलपर्स की आधिकारिक वेबसाइटों की नकल करते हैं: Discord, TeamViewer, DaemonTools और VLC Media Player का उल्लेख करें। मूल से एकमात्र ध्यान देने योग्य अंतर सक्रिय लिंक की कमी थी, एक को छोड़कर - कार्यक्रम के डाउनलोड के लिए अग्रणी।



डाउनलोड करने योग्य इंस्टॉलर में आवश्यक वैध कार्यक्रम और एक अलग बैकडोर इंस्टॉलर शामिल हैं। जब विंडोज शेड्यूलर में लॉन्च किया जाता है, तो हर दो मिनट में एक दुर्भावनापूर्ण प्रोग्राम को कॉल करने के लिए एक कार्य बनाया जाता है। पिछले दरवाजे के कार्यों का सेट पारंपरिक है: यह आपको आरडीपी प्रोटोकॉल के माध्यम से दूरस्थ रूप से संक्रमित सिस्टम से कनेक्ट करने की अनुमति देता है, कमांड सर्वर से निर्देशों को निष्पादित करता है, मनमाने ढंग से एप्लिकेशन लॉन्च कर सकता है, फ़ायरवॉल की सेटिंग्स को बदल सकता है। एक दिलचस्प विशेषता ब्राउज़रों के साथ बातचीत थी: एक बैकडोर उपयोगकर्ता क्रियाओं का अनुकरण करने में सक्षम है, जैसे वेब पेज खोलना और विज्ञापन लिंक पर क्लिक करना।

Kaspersky Lab सुरक्षा उपकरण इस कार्यक्रम को Backdoor.MSIL.XCore के रूप में पहचानते हैं। मैलवेयर अवरोधक का अधिकांश हिस्सा रूस के क्षेत्र में हुआ, इसके बाहर केवल कुछ मामले देखे गए। यह तीसरा बड़े पैमाने पर XCore पिछले दरवाजे वितरण अभियान है, पिछले वाले 2019 की गर्मियों में और 2018 के अंत में दर्ज किए गए थे।


सॉफ्टवेयर डाउनलोड के लिए "हॉट" सर्च रिक्वेस्ट के लिए विज्ञापन लिंक के एक अध्ययन से पता चला है कि XCore पिछले दरवाजे के अलावा, उपयोगकर्ताओं को थोड़ा कम खतरनाक, लेकिन अधिक कष्टप्रद, Maombi परिवार से adware स्थापित करने का जोखिम है। इस सॉफ़्टवेयर को अक्सर आगंतुकों से परिचित तरीके से कार्यक्रमों के वैध संग्रह के साथ साइटों पर विज्ञापित किया जाता है - जब डाउनलोड पृष्ठ पर (आपको क्या चाहिए) तो नकली से वास्तविक डाउनलोड बटन को भेदना आसान नहीं है, जो विज्ञापन बैनर का हिस्सा है, जैसा कि ऊपर दिए गए स्क्रीनशॉट में है। नीचे दिया गया स्क्रीनशॉट इस तरह के इंस्टॉलर का एक उदाहरण दिखाता है। Adware उपयोगकर्ता की पसंद की परवाह किए बिना स्थापित किया गया है, भले ही आप "मना करें" बटन पर क्लिक करें या विंडो बंद करें।


और क्या हुआ?


पॉजिटिव टेक्नोलॉजीज को इंटेल कंवर्जेड सिक्योरिटी एंड मैनेजमेंट इंजन मॉड्यूल ( समाचार , कंपनी के ब्लॉग पर हैबे पर पोस्ट ) में भेद्यता मिली । शोधकर्ताओं के अनुसार, नवीनतम 10 वीं पीढ़ी के समाधानों को छोड़कर सभी इंटेल चिपसेट और SoCs में भेद्यता मौजूद है, और एक सॉफ्टवेयर अपडेट के साथ इसे ठीक नहीं किया जा सकता है। समान भेद्यता के लिए एक पैच केवल शोषण की संभावना को सीमित करता है। कंपनी ने बाद में तकनीकी विवरण प्रकाशित करने का वादा किया।

विंडोज के तहत NVIDIA वीडियो कार्ड के लिए अगला ड्राइवर अपडेट कई खतरनाक कमजोरियों को बंद करता है

सिस्को बंद हो गयाकमजोरियाँ जो Webex सेवा के साथ काम करने के लिए उपयोगिताओं में मनमाने कोड को निष्पादित करने की अनुमति देती हैं। एक ऑनलाइन सम्मेलन के परिणामों से उत्पन्न वीडियो फ़ाइलों के खिलाड़ियों को तैयार फ़ाइल का उपयोग करके हमला करने के लिए इस्तेमाल किया जा सकता है। वेबसाइट के सत्यापन की प्रक्रिया में त्रुटि के कारण

मुक्त एन्क्रिप्शन सेवा चलो एनक्रिप्ट को 3 मिलियन जारी किए गए प्रमाण पत्रों को रद्द करना था । प्रारंभिक समय सीमा (4 मार्च) तक, 1.7 मिलियन प्रमाणपत्र नवीनीकृत किए गए थे। शेष प्रतिक्रिया को स्थगित कर दिया गया था ताकि साइट निष्क्रिय न हो सकें। अब योजना है: प्रभावित स्थलों के मालिकों को जल्द से जल्द प्रमाण पत्र नवीनीकृत करने के लिए सूचित करें, लेकिन पूरी प्रक्रिया तीन महीने में पूरी हो जाएगी, क्योंकि चलो किसी भी मामले में प्रमाण पत्र को एन्क्रिप्ट करें अब एक चौथाई से अधिक नहीं है।

नेटगियर नाइटहॉक 2016 राउटर में एक गंभीर भेद्यता की खोज की गई और उसे बंद कर दिया गया। निर्माता विवरण का खुलासा नहीं करता है (सिवाय इसके कि यह मनमाने ढंग से कोड को निष्पादित करने के बारे में है), आप यहां पैच डाउनलोड कर सकते हैं

मार्च में एंड्रॉइड के लिए सुरक्षा अद्यतन मेडीटेक प्लेटफॉर्म पर उपकरणों में भेद्यता बंद है। एक्सडीए डेवलपर्स के अनुसार , समस्या का उपयोग कई महीनों तक रूट अधिकार प्राप्त करने के लिए किया गया है, जिसमें मैलवेयर भी शामिल है।

ट्रॉय हंट ने अपना विचार बदल दियालीक अकाउंट्स और पासवर्ड की जांच के लिए अपनी हैव आई बीन प्वॉन्ड सर्विस बेचें। एक संभावित खरीदार के साथ बातचीत के बाद, लेनदेन के पैरामीटर "अव्यावहारिक" थे, सेवा एक स्वतंत्र की स्थिति में मौजूद रहेगी।

Microsoft व्यवसाय ( समाचार , अनुसंधान ) पर विस्तार से "मैनुअल" क्रिप्टो हमलों का वर्णन करता है । इस बार हम रैंसमवेयर ट्रोजन द्वारा स्वचालित हमलों के बारे में बात नहीं कर रहे हैं, लेकिन एक व्यक्तिगत दृष्टिकोण के बारे में, जब एक विशिष्ट शिकार के लिए अद्वितीय हैकिंग रणनीति लागू होती है, और फिरौती की कीमत सॉल्वेंसी पर आधारित होती है। हमले की गति पर एक दिलचस्प अवलोकन: पहली पहुंच से पूर्ण नियंत्रण तक सभी चरणों में औसतन एक घंटे लगते हैं।


नाटक तत्वों के साथ ज़ोहो मोबाइल डिवाइस प्रबंधन सॉफ्टवेयर में भेद्यताशोधकर्ता ने समस्या के बारे में जानकारी प्रकाशित की और अतीत में "बुरे अनुभव" के कारण सेवा और सॉफ्टवेयर के डेवलपर्स को सूचित किए बिना एक कारनामे को पोस्ट किया।

More articles:


All Articles