- UNC5142 ने मैलवेयर वितरित करने के लिए 14,000+ वर्डप्रेस साइटों को हैक किया
- ब्लॉकचेन से मैलवेयर पेलोड लाए गए, जिससे लचीलापन बढ़ा और निष्कासन में बाधा उत्पन्न हुई
- ClickFix उपयोगकर्ताओं को दुर्भावनापूर्ण कमांड चलाने का लालच देता है
Google के थ्रेट इंटेलिजेंस ग्रुप (GTIG) ने एक हालिया रिपोर्ट में कहा कि 14,000 से अधिक वर्डप्रेस वेबसाइटों को हैक कर लिया गया और मैलवेयर वितरण के लिए लॉन्चपैड के रूप में उपयोग किया गया।
अभियान पर गहन चर्चा करते हुए, जीटीआईजी ने कहा कि यह UNC5142 का काम है, जो एक अपेक्षाकृत नया खतरा अभिनेता है जो 2023 के अंत में उभरा और जुलाई 2025 के अंत में संचालन बंद कर दिया।
यह अभी तक ज्ञात नहीं है कि क्या विराम अस्थायी है, स्थायी है, या यदि समूह केवल विभिन्न तकनीकों पर केंद्रित है। वेबसाइटों से समझौता करने और मैलवेयर तैनात करने में उनकी पिछली सफलता को देखते हुए, Google का मानना है कि समूह ने अपनी अस्पष्ट तकनीकों में सुधार किया है और अभी भी जंगली में काम कर रहा है।
ब्लॉकचेन और क्लिकफ़िक्स
अभियान में, UNC5142 “अंधाधुंध” कमजोर वर्डप्रेस साइटों को लक्षित करेगा – जिनमें त्रुटिपूर्ण प्लगइन्स, थीम फ़ाइलें और कुछ मामलों में – वर्डप्रेस डेटाबेस ही शामिल हैं।
इन साइटों को CLEARSHOT नामक मल्टी-स्टेज जावास्क्रिप्ट डाउनलोडर दिया जाएगा, जो मैलवेयर वितरण को सक्षम करेगा। यह डाउनलोडर सार्वजनिक ब्लॉकचेन से चरण-दो पेलोड प्राप्त करता है, जो अक्सर बीएनबी श्रृंखला का उपयोग करता है।
शोधकर्ताओं ने पाया कि ब्लॉकचेन का उपयोग दिलचस्प है, क्योंकि यह लचीलेपन में सुधार करता है और निष्कासन को और अधिक कठिन बना देता है:
रिपोर्ट में कहा गया है, “UNC5142 के बुनियादी ढांचे और संचालन के बड़े हिस्से के लिए ब्लॉकचेन तकनीक का उपयोग पता लगाने और निष्कासन प्रयासों के सामने उनकी लचीलापन बढ़ाता है।”
“पारंपरिक यूआरएल के उपयोग की कमी को देखते हुए पारंपरिक वेब ट्रैफिक की तुलना में वेब3 ट्रैफिक के लिए नेटवर्क आधारित सुरक्षा तंत्र को लागू करना अधिक कठिन है। ब्लॉकचेन की अपरिवर्तनीयता को देखते हुए जब्ती और निष्कासन संचालन में भी बाधा आती है।”
सार्वजनिक ब्लॉकचेन से, मैलवेयर बाहरी सर्वर से CLEARSHORT लैंडिंग पृष्ठ खींच लेगा। यह लैंडिंग पृष्ठ क्लिकफिक्स सोशल इंजीनियरिंग रणनीति पर काम करेगा – जो उपयोगकर्ताओं को विंडोज़ (या मैक पर टर्मिनल ऐप) पर रन प्रोग्राम में एक कमांड कॉपी और पेस्ट करने के लिए प्रेरित करेगा जो अंततः मैलवेयर डाउनलोड करता है।
ऐसा कहा गया था कि लैंडिंग पृष्ठ आमतौर पर क्लाउडफ्लेयर .dev पेज पर होस्ट किए जाते थे और एन्क्रिप्टेड प्रारूप में पुनर्प्राप्त किए जाते थे।
के जरिए हैकर समाचार
Google समाचार पर TechRadar को फ़ॉलो करें और हमें पसंदीदा स्रोत के रूप में जोड़ें अपने फ़ीड में हमारे विशेषज्ञ समाचार, समीक्षाएं और राय प्राप्त करने के लिए। फॉलो बटन पर क्लिक करना सुनिश्चित करें!
और हां आप भी कर सकते हैं टिकटॉक पर TechRadar को फॉलो करें समाचारों, समीक्षाओं, वीडियो के रूप में अनबॉक्सिंग के लिए, और हमसे नियमित अपडेट प्राप्त करें WhatsApp बहुत।
