Thnx To THN |
इंटरनेट पर उपर्युक्त सुरक्षा चेतावनी के बारे में कई बार सुना हो सकता है क्योंकि हैकर्स आमतौर पर स्पैम ईमेल से जुड़ी विशेष रूप से तैयार की गई माइक्रोसॉफ्ट ऑफिस फाइलों, खासकर वर्ड के माध्यम से कंप्यूटरों को हैक करने के लिए इस दशक पुरानी मैक्रो-आधारित हैकिंग तकनीक का लाभ उठाते हैं।
लेकिन जंगली में एक नया सामाजिक इंजीनियरिंग हमले की खोज की गई है, जिसे उपयोगकर्ताओं को मैक्रो सक्षम करने की आवश्यकता नहीं है; इसके बदले यह किसी PowerPoint फ़ाइल (पीपीटी) फ़ाइल के भीतर एम्बेडेड PowerShell कमांड का उपयोग कर किसी लक्षित सिस्टम पर मैलवेयर निष्पादित करता है।
इसके अलावा, दस्तावेज़ के अंदर छिपे हुए दुर्भावनापूर्ण पावरशेल कोड जैसे ही पीड़ित को एक लिंक (जैसा दिखाया गया) पर एक माउस खींचता है / चालता है, जो समझौता मशीन पर एक अतिरिक्त पेलोड डाउनलोड करता है - यहां तक कि उसे क्लिक किए बिना।
सुरक्षा फर्म SentinelOne के शोधकर्ताओं ने पाया है कि हैकर का एक समूह दुर्भावनापूर्ण PowerPoint फ़ाइलों का उपयोग 'ज़ुसी' को वितरित करने के लिए कर रहा है, जो बैंकिंग ट्रोजन है, जिसे 'टिनबा' (टिनी बैंकर) भी कहा जाता है।
2012 में खोजा गया, ज़ुसी एक बैंकिंग ट्रोजन है जो वित्तीय वेबसाइटों को लक्षित करता है और नेटवर्क ट्रैफिक को सताता है और मैन-इन-द-ब्राउज़र हमलों का प्रदर्शन करने के लिए कानूनी बैंकिंग साइट्स में अतिरिक्त रूपों को इंजेक्ट करने की क्षमता है, पीडि़तों को अधिक महत्वपूर्ण डेटा साझा करने के लिए कह रहा है क्रेडिट कार्ड नंबर, TANs, और प्रमाणीकरण टोकन के रूप में
"ज़ुसी 'नामक एक मैलवेयर का एक नया संस्करण' क्रयेशन ऑर्डर # 130527 'और' कन्फर्मेशन 'जैसे शीर्षक से स्पैम ईमेल से जुड़ी एक पावरपॉइंट फ़ाइल के रूप में जंगली फैलाने में पाया गया है। यह दिलचस्प है क्योंकि उपयोगकर्ता को मैक्रोज़ निष्पादित करने के लिए सक्षम करने की आवश्यकता नहीं है, "सेंटीइनऑन लैब्स के शोधकर्ता एक ब्लॉग पोस्ट में कहते हैं।पावरपॉइंट फ़ाइलों को "खरीद ऑर्डर" और "पुष्टिकरण" जैसे विषयों के साथ स्पैम ईमेल के माध्यम से वितरित किया गया है, जो जब खोला गया था, तो हाइपरलिंक के रूप में "लोड हो रहा है ... कृपया प्रतीक्षा करें" पाठ प्रदर्शित करता है
यदि उपयोगकर्ता इस चेतावनी की उपेक्षा करता है और सामग्री को देखने की अनुमति देता है, तो दुर्भावनापूर्ण प्रोग्राम "cccn.nl" डोमेन नाम से कनेक्ट होगा, जहां से वह एक फ़ाइल डाउनलोड और निष्पादित करता है, जो अंततः एक नए प्रकार की डिलीवरी के लिए उत्तरदायी है बैंकिंग ट्रोजन को ज़्यूसी कहते हैं
"उपयोगकर्ता अभी भी किसी भी तरह के बाहरी कार्यक्रमों को सक्षम कर सकते हैं क्योंकि वे जल्दी में आलसी हैं, या वे केवल मैक्रोज़ को अवरुद्ध करने के लिए इस्तेमाल कर रहे हैं," सेंटीनेलऑन लैब्स कहते हैं। "साथ ही, मैक्रो के साथ की तुलना में बाहरी विन्यास निष्पादित करने में कुछ विन्यास संभवतः अधिक अनुमोदित हो सकते हैं।"एक अन्य सुरक्षा शोधकर्ता, रूबेन डैनियल डॉज ने भी इस नए हमले का विश्लेषण किया और पुष्टि की कि यह नव खोजी गई हमले निष्पादन विधि के लिए मैक्रोज़, जावास्क्रिप्ट या वीबीए पर निर्भर नहीं है।
"यह हॉवर एक्शन के लिए एलीमेंट की परिभाषा के द्वारा पूरा किया गया है। यह हॉवर एक्शन एक बार वर्डप्रेस म्यूज को टेक्स्ट पर एक बार निष्पादित करने के लिए सेटअप है। स्लाइड 1 के संसाधन परिभाषा में 'rid2' को हाइपरलिंक के रूप में परिभाषित किया जाता है जहां लक्ष्य है एक पावरशेल कमांड, "डॉज ने कहा।सुरक्षा फर्म ने यह भी कहा कि हमले काम नहीं करता यदि दुर्भावनापूर्ण फ़ाइल को PowerPoint व्यूअर में खोला गया है, जो कार्यक्रम को निष्पादित करने से इनकार करता है। लेकिन कुछ मामलों में तकनीक अभी भी कुशल हो सकती है।