ईमेल से एंट्री, सिस्टम पर कब्जा आया नया साइबर खतरा!

LucidRook malware: ताइवान में एक संगठित साइबर हमला  करने का मामला  सामने आया है। जिसमें LucidRook नाम का खतरनाक मालवेयर इस्तेमाल हो रहा है। बताया जा रहा है कि  हैकर्स ने इसे फैलाने के लिए नकली Security Software तैयार किया।  जो दिखने में बिल्कुल असली प्रोडक्ट जैसा लगता है। इसका आइकन और नाम तक कॉपी किया गया है। जिससे की यूजर आसानी से धोखा खा जाए। यह अभियान खासतौर पर NGOs और विश्वविद्यालयों को निशाना बना रहा है। तो आइए जानते हैं इस नए साइबर हमले के तरीके के बारे में।

यूजर्स सावधान! नकली ऐप और एडवांस टूलकिट से हैकर्स कर रहा टारगेटेड अटैक, Cisco Talos ने किया बड़ा खुलासा।

फिशिंग ईमेल और फर्जी सरकारी दस्तावेज़

हमले की शुरुआत स्पीयर-फिशिंग ईमेल से होती है। इन ईमेल में शॉर्ट लिंक दिए जाते हैं, जो पासवर्ड-प्रोटेक्टेड फाइल डाउनलोड करवाते हैं। अभिलेखागारों तक ले जाने वाले छोटे यूआरएल वाले स्पीयरफ़िशिंग ईमेल का इस्तेमाल करता है। फाइल के अंदर एक फर्जी सरकारी पत्र रखा जाता है। यह दिखने में ताइवानी विश्वविद्यालयों से जारी हुए लेटर की तरह दिखता है। लेकिन होता फर्जी है। यह पूरा कंटेंट पारंपरिक चीनी भाषा में होता है। जिससे हमले की विश्वसनीयता बढ़ जाती हैं।

रिसर्च में खुलासा और एडवांस टूलकिट

इस पूरे ऑपरेशन का खुलासा Cisco Talos ने किया है। शोधकर्ताओं के अनुसार यह UT नाम के थ्रेट ग्रुप का टारगेटेड अभियान है। इसमें ल्यूसिडरूक के साथ ल्यूसिडनाइट और LucidPan जैसे टूल भी इस्तेमाल किए जा रहे हैं। मालवेयर Lua और Rust आधारित तकनीक पर काम करता है। फिर Windows सिस्टम में DLL हाइजैकिंग के जरिए खुद को छुपाकर एक्टिव हो जाता है। DismCore.dll  जो ल्यूसिडरूक स्टैगर है को एक छिपी हुई डायरेक्टरी में, असली एग्जीक्यूटेबल index.exe के साथ डाल देता है। फिर Windows Startup फ़ोल्डर में रखी गई एक LNK फ़ाइल के ज़रिए सिस्टम में बने रहने की व्यवस्था की जाती है।

READ MORE- Iran Ceasefire पर थरूर ने पाकिस्तान की तारीफ…छिड़ी नई बहस

डेटा चोरी और बचाव के उपाय

शोधकर्ताओं का कहना है कि यह सिस्टम में पहुंचने के बाद यह यूजर और डिवाइस की जानकारी इकट्ठा करता है। एन्क्रिप्ट करके FTP सर्वर के जरिए बाहर भेज देता है। यह खुद को Microsoft Edge जैसे प्रोसेस में छुपाकर लंबे समय तक एक्टिव रह सकता है। जो बेहद खतरनाक हो सकता है। यह हाई-लेवल और सुनियोजित साइबर हमला करने के लिए तैयार रहता है। इससे बचने के लिए मजबूत ईमेल फिल्टरिंग, संदिग्ध फाइलों से दूरी और सिस्टम मॉनिटरिंग बेहद जरूरी है।

READ MORE-  सावधान! QR स्कैन करते ही खाली हो सकता है आपका अकाउंट

Snort डिटेक्शन नियमों का करें पालन

Cisco Talos ने अपनी GitHub रिपॉजिटरी पर indicators of compromise प्रकाशित किया है।ताकि सुरक्षा विशेषज्ञों को इस खतरे की पहचान करने में मदद मिल सके। सलहा दी गई है कि वे ‘स्पीयरफ़िशिंग’ के प्रयासों को पकड़ने के लिए सख्त ईमेल फ़िल्टरिंग लागू करें. असामान्य DLL साइडलोडिंग गतिविधि और %APPDATA% से शुरू होने वाली प्रक्रियाओं पर नज़र रखें। इसके अलावे Snort डिटेक्शन नियमों का पालन करें।