सुरक्षा स्टोर की ख़तरनाक ख़ुफ़िया टीम के अनुसार, क्राउडस्ट्राइक विंडोज़ उपयोगकर्ताओं को लोकप्रिय सूचना-चोरी करने वाले मैलवेयर लुम्मा को डाउनलोड करने और चलाने के लिए धोखा देने के लिए इस्तेमाल किया जाने वाला नवीनतम प्रलोभन है, जिसने फाल्कन सेंसर अपडेट विफलता के कुछ दिन पहले ही इस घोटाले को देखा था।
लुम्मा जैसे सूचना चोर संग्रहीत संवेदनशील जानकारी, जैसे साइट लॉगिन क्रेडेंशियल और ब्राउज़िंग इतिहास के लिए संक्रमित मशीनों को खंगालते हैं। फिर इस डेटा को धोखाधड़ी, चोरी और अन्य अपराधों के लिए उपयोग करने के लिए मैलवेयर ऑपरेटरों को चुपचाप भेज दिया जाता है।
विशेष रूप से, इस चोरी की गई जानकारी का उपयोग पीड़ितों के ऑनलाइन बैंकिंग खातों और क्रिप्टोकरेंसी वॉलेट के साथ-साथ ईमेल इनबॉक्स, रिमोट डेस्कटॉप खातों और अन्य एप्लिकेशन और सेवाओं तक अवैध पहुंच प्राप्त करने के लिए किया जाता है, जिनके लिए वैध लॉगिन क्रेडेंशियल की आवश्यकता होती है, जिससे इस प्रकार का मैलवेयर विशेष रूप से लोकप्रिय हो जाता है। साइबर अपराधी।
लुम्मा एक अपेक्षाकृत लोकप्रिय चोर है जिसकी बहुत मांग है रैंसमवेयर टीमों के बीच 2022 से। वह जानकारी चुराने वालों में से एक है, जिसके बारे में मैंडिएंट का कहना है कि UNC5537 आपराधिक गिरोह क्रेडेंशियल्स प्राप्त करता था जिनका उपयोग तब किया जाता था स्नोफ्लेक दर्ज करें इस वसंत की शुरुआत में क्लाउड स्टोरेज वातावरण।
सुरक्षा सेवा ने कहा, क्राउडस्ट्राइक अभियान में, लुम्मा बिल्ड टाइमस्टैम्प “संकेत देता है कि अभिनेता ने क्राउडस्ट्राइक के फाल्कन सेंसर के लिए अद्वितीय सामग्री अपडेट की पहचान करने के अगले दिन वितरण के लिए नमूना बनाया है”। टिप्पणी.
डोमेन क्राउडस्ट्राइक-ऑफिस365(.)कॉम अभी 23 जुलाई को पंजीकृत किया गया था दिनों के बाद 19 जुलाई क्राउडस्ट्राइक से दोषपूर्ण अद्यतन कुचल 8.5 मिलियन विंडोज़ मशीनेंमाना जाता है कि डोमेन के पीछे का समूह जून में पहले के सोशल इंजीनियरिंग हमलों से जुड़ा हुआ है, जिसने लुम्मा मैलवेयर भी वितरित किया था।
इन पिछले सूचना चोरी अभियानों में, अपराधियों ने स्पैम फ़िशिंग ईमेल भेजे और फिर Microsoft टीम सहायता डेस्क कर्मचारी से आने का नाटक करके फ़ोन कॉल भेजे।
क्राउडस्ट्राइक टीम की रिपोर्ट है, “अभियानों और कॉर्पोरेट नेटवर्क के स्पष्ट लक्ष्यीकरण के बीच साझा बुनियादी ढांचे के आधार पर, क्राउडस्ट्राइक इंटेलिजेंस मध्यम विश्वास के साथ आकलन करता है कि गतिविधि संभवतः उसी अज्ञात खतरे वाले अभिनेता के लिए जिम्मेदार है।”
नकली क्राउडस्ट्राइक डोमेन खराब सेंसर अपडेट के कारण होने वाले बूट लूप को ठीक करने के लिए एक रिकवरी टूल होने का दावा करते हुए, उपयोगकर्ताओं को .zip फ़ाइल पर क्लिक करने और उसे पुनर्प्राप्त करने के लिए बरगलाने का प्रयास करता है। संग्रह में एक Microsoft इंस्टॉलर फ़ाइल, WidowsSystem-update(.)msi है, जो वास्तव में एक मैलवेयर लोडर है।
एक बार जब लोडर ब्रांड चलाता है, तो यह एक सेल्फ-एक्सट्रैक्टिंग RAR फ़ाइल, प्लेनरको(.)exe को ड्रॉप और निष्पादित करता है, जिसमें फ़ाइल नाम SymposiumTaiwan(.)exe के साथ एक Nullsoft स्क्रिप्टेबल इंस्टाल सिस्टम (NSIS) इंस्टॉलर होता है। इस फ़ाइल में वैध AutoIt निष्पादन योग्य के कोड टुकड़े शामिल हैं जो अत्यधिक अस्पष्ट हैं और यदि पीड़ित की मशीन एंटीवायरस सॉफ़्टवेयर चला रही है तो समाप्त हो जाएगी।
लेकिन यह मानते हुए कि तट स्पष्ट है और मैलवेयर बिना पहचाने चलता रह सकता है, ऑटोइट लोडर दो शेलकोड में से एक को निष्पादित करता है, यह इस पर निर्भर करता है कि यह 32- या 64-बिट सिस्टम है, और अंत में लुम्मा मैलवेयर को तैनात करता है।
क्राउडस्ट्राइक के संदिग्ध सेंसर अपडेट के कुछ ही घंटों बाद विंडोज़ मशीनों को बीएसओडी सर्पिल में भेज दिया गया, रिपोर्टें सामने आई हैं कपटपूर्ण ईमेल आउटेज को एक प्रलोभन के रूप में उपयोग करना और क्राउडस्ट्राइक सपोर्ट या क्राउडस्ट्राइक सिक्योरिटी से आने का दिखावा करना। सुरक्षा कंपनी का कहना है कि 97% प्रभावित सिस्टम अब वापस ऑनलाइन हो गए हैं। ®
