Redline चोर – रेडलाइन मैलवेयर क्या है?

RedLine Stealer - What is RedLine Malware?
RedLine Stealer, RedLine malware, Stealer malware
Written by Brendan Smith

RedLine Stealer एक दुर्भावनापूर्ण प्रोग्राम है जिसका उद्देश्य संक्रमित सिस्टम से विभिन्न व्यक्तिगत जानकारी को हड़पना है। इसे स्टैंड-अलोन मैलवेयर के साथ-साथ कुछ अन्य दुर्भावनापूर्ण ऐप्स के साथ भी फैलाया जा सकता है। यह मैलवेयर बैंकिंग चुराने वाले का एक उदाहरण है। हालाँकि, यह विभिन्न अन्य श्रेणियों की जानकारी लेने के लिए विभिन्न ब्राउज़रों में भी खुदाई कर सकता है।

चोरी करने वाला मालवेयर क्या है?

स्टीलर एक मैलवेयर प्रकार है जो संक्रमित मशीन से कुछ विशिष्ट डेटा प्रकारों को हथियाने का लक्ष्य रखता है। मैलवेयर का यह वर्ग कभी-कभी स्पाइवेयर से भ्रमित हो जाता है, हालांकि, बाद वाला वह सब कुछ ले लेता है जो वह ले सकता है प्रणाली। इस बीच, कुछ चोरी करने वाले विशिष्ट फाइलों या एक निश्चित प्रारूप की फाइलों की भी खोज कर सकते हैं – उदाहरण के लिए, ऑटोकैड ब्लूप्रिंट या माया प्रोजेक्ट। यह उन्हें अधिक प्रभावी बनाता है, हालांकि, सफल होने के लिए उन्हें अधिक कौशल और नियंत्रण की आवश्यकता होती है।

चोरी करने वाले यथासंभव गुप्त रहने की कोशिश कर रहे हैं क्योंकि उनकी दक्षता बहुत हद तक उस समय पर निर्भर करती है जब वे बिना पता लगाए सिस्टम में बने रहते हैं। ज़रूर, कुछ नमूने अपने मूल संचालन करते हैं और फिर आत्म-विनाश करते हैं। लेकिन कुछ ऐसे भी हैं जो तब तक चलते रहते हैं जब तक कि उनका पता नहीं चल जाता है या कोई आत्म-विनाश आदेश नहीं है सी एंड सी सर्वर से

रेडलाइन स्टीलर कार्यक्षमता

RedLine स्टीलर आम तौर पर बैंकिंग चोरी करने वाले की तरह काम करता है, क्योंकि इसका प्राथमिक लक्ष्य वेब ब्राउज़र में सहेजी गई बैंकिंग क्रेडेंशियल्स हैं। इस आवश्यकता को पूरा करने के लिए, RedLine में किसी भी ब्राउज़र – क्रोमियम, गेको-आधारित और अन्य दोनों में गहराई तक जाने की क्षमता है। लेकिन यह बैंकिंग डेटा के अलावा ब्राउजर में रखी कुकीज और पासवर्ड को भी हड़प लेता है। फिर भी, बहुत से लोकप्रिय ब्राउज़र बाद वाले को सादे पाठ के रूप में नहीं रखते हैं, इसलिए यह वैकल्पिक ऐप्स के उपयोगकर्ताओं पर हमला करने के बारे में अधिक है।

RedLine Stealer admin panel

रेडलाइन स्टीलर का प्रशासनिक पैनल

हालाँकि, वेब ब्राउज़र उस चोरी करने वाले के लिए सूचना का एकमात्र स्रोत नहीं हैं। उनके साथ, RedLine मैलवेयर डिवाइस को विभिन्न ऐप्स के लिए स्कैन करता है, जैसे टेलीग्राम, डिस्कॉर्ड और स्टीम। इसका उद्देश्य FTP/SCP और VPN कनेक्शन के लिए क्रेडेंशियल हासिल करना भी है। इसका कोड, रिवर्स इंजीनियरिंग द्वारा पुनर्प्राप्त किया गया, क्रिप्टो वॉलेट के लिए स्कैन करने और फिर उनकी जानकारी चोरी करने की क्षमता भी दिखाता है।

एक प्रक्रिया के अंत में, RedLine सिस्टम के बारे में विस्तृत जानकारी एकत्र करता है – OS संस्करण, स्थापित हार्डवेयर, सॉफ़्टवेयर की सूची, IP पता, इत्यादि। उसके बाद, एकत्रित जानकारी का पूरा पैक स्कैनरिजल्ट फोल्डर में जमा हो जाता है। उत्तरार्द्ध उसी निर्देशिका में चोरी करने वाले कार्यकारी फ़ाइल के साथ बनाया गया है।

रेडलाइन टेक विश्लेषण

लक्ष्य मशीन तक पहुँचने के बाद, RedLine मैलवेयर एक एकल प्रक्रिया – Trick.exe, और एक कंसोल विंडो का एक उदाहरण लॉन्च करता है। इसके तुरंत बाद, यह newlife957[.]duckdns[.]org[:]7225 के पते पर कमांड और कंट्रोल सर्वर के साथ एक कनेक्शन स्थापित करता है। यह ध्यान देने योग्य है कि प्रारंभिक कोड में काफी वैध कार्य होते हैं – संभवतः एक वास्तविक कार्यक्रम से लिया गया। प्रारंभिक कोड में कार्यक्षमता के माध्यम से दुर्भावनापूर्ण सामग्री गतिशील रूप से डाउनलोड हो रही है। प्रारंभिक पहुंच के बाद सिस्टम के अंदर एंटी-मैलवेयर समाधानों को अक्षम करने के लिए कुछ समय जीतने के लिए इस तरह की चाल का उपयोग किया जाता है।

TicTacToe RedLine

RedLine कोड में TicTacToe संदर्भ

जब दुर्भावनापूर्ण पेलोड स्थापित होता है, तो मैलवेयर सबसे पहले पीसी के आईपी पते की जांच करता है। यह उस उद्देश्य के लिए api[.]ip[.]sb साइट का उपयोग करता है। यदि इसकी आंतरिक ब्लैकलिस्ट के साथ कोई विरोध नहीं है – देश और IP पते जिन्हें लॉन्च करने की अनुमति नहीं है – मैलवेयर आगे के संचालन के लिए आगे बढ़ता है। RedLine कॉन्फ़िगरेशन के बाद प्राप्त होने वाली सूची का पालन करते हुए, चरण दर चरण पर्यावरण को स्कैन करना शुरू करता है।

Scanning sequence Redline stealer

संक्रमित पीसी पर चोरी करने वाले तत्वों के लिए स्कैनिंग का क्रम

फिर, यह एक लॉग फ़ाइल बनाता है जिसमें हमला किए गए सिस्टम से निकाली गई जानकारी शामिल होती है। डेटा निकालने के चरण में मैलवेयर सुविधाएँ डेटा एन्क्रिप्शन के रूप में सभी विवरण देखना संभव नहीं है। हालाँकि, डेटा प्रकार स्पष्ट रूप से दिखाई दे रहे हैं, इसलिए आप उम्मीद कर सकते हैं कि यह मैलवेयर बदमाशों के साथ क्या साझा करता है।

रेडलाइन स्टीलर द्वारा एकत्रित डेटा प्रकार

समारोह का नामविवरण
ScannedBrowserब्राउज़र का नाम, उपयोगकर्ता प्रोफ़ाइल, लॉगिन क्रेडेंशियल और कुकीज़
FtpConnectionsलक्ष्य मशीन पर मौजूद एफ़टीपी कनेक्शन के बारे में विवरण
GameChatFilesकिसी गेम से संबंधित इन-गेम चैट की फ़ाइलें मिलीं
GameLauncherFilesइंस्टॉल किए गए गेम लॉन्चर की सूची
InstalledBrowsersस्थापित ब्राउज़रों की सूची
MessageClientFilesलक्ष्य मशीन पर स्थित मैसेजिंग क्लाइंट की फ़ाइलें
Cityशहर का पता लगाया
Countryदेश का पता लगाया
File Locationवह पथ जहाँ मैलवेयर .exe फ़ाइल निष्पादित की जाती है
Hardwareस्थापित हार्डवेयर के बारे में जानकारी
IPv4पीड़ित पीसी का सार्वजनिक IPv4 IP पता
Languageओएस भाषा
ScannedFilesसिस्टम में संभावित रूप से मूल्यवान फ़ाइलें मिलीं
ScreenSizeलक्ष्य प्रणाली का स्क्रीन रिज़ॉल्यूशन
समारोह का नामविवरण
ScannedWalletsसिस्टम में पाए गए बटुए के बारे में जानकारी
SecurityUtilsसभी खोजे गए एंटीवायरस प्रोग्रामों की सूची और स्थिति
AvailableLanguagesलक्ष्य पीसी पर OS संस्करण द्वारा समर्थित भाषाएँ
MachineNameलक्ष्य मशीन का नाम
Monitorनिष्पादन के समय स्क्रीन का स्क्रीनशॉट
OSVersionऑपरेटिंग सिस्टम संस्करण के बारे में जानकारी
Nordनॉर्डवीपीएन के लिए साख
OpenOpenVPN के लिए साख
Processesसिस्टम में चल रही प्रक्रियाओं की सूची
SeenBeforeजाँच करें कि क्या रिपोर्ट किसी नए शिकार या उस व्यक्ति के बारे में है जिस पर पहले हमला किया गया था
TimeZoneआक्रमण किए गए कंप्यूटर का समय क्षेत्र
ZipCodeपीड़ित का ज़िप कोड
Softwaresहमले के पीसी पर स्थापित कार्यक्रमों की सूची
SystemHardwaresपीसी कॉन्फ़िगरेशन के बारे में विवरण

विभिन्न शोधों से पता चलता है कि रेडलाइन उन ब्राउज़रों के साथ पूरी तरह से संगत नहीं है जिन पर यह हमला करता है। Chrome, Opera, Chromium और Chromodo ब्राउज़र में सबसे अधिक प्रभावशीलता देखी गई है। क्रोमियम के अलावा अन्य इंजनों पर आधारित ऐप्स में एक चीनी WebKit-आधारित 360Browser है। गेको इंजन पर वेब ब्राउज़र – फ़ायरफ़ॉक्स, वाटरफॉक्स और आगे – भी असुरक्षित हैं, लेकिन चोरी करने वाले को कभी-कभी उनसे डेटा निकालने में समस्या होती है।

RedLine मैलवेयर सिस्टम में लंबे समय तक रहने की ओर उन्मुख करता है. एक बार चोर के पास कोई डेटा नहीं रहने पर बहुत सारे चोरी करने वालों के पास सेल्फ-रिमूवल फंक्शनलिटी होती है। इस बीच, यह चोरी करने वाला स्पाइवेयर-शैली तंत्र प्रदान करता है: एक ऑपरेटर इसे खुद को नष्ट करने का आदेश दे सकता है, लेकिन अंदर कोई टाइमर नहीं है।

रेडलाइन चोर आईओसी

सूचकप्रकारविवरण
newlife957[.]duckdns[.]org[:]7225URLC2 URL
1741984cc5f9a62d34d180943658637523ac102db4a544bb6812be1e0507a348हैशSHA-256 हैश – भेष बदलना (ज्ञात नहीं)
ee4608483ebb8615dfe71924c5a6bc4b0f1a5d0eb8b453923b3f2ce5cd00784bहैशमैलवेयर भाग का SHA-256 हैश
9dc934f7f22e493a1c1d97107edc85ccce4e1be155b2cc038be8d9a57b2e430fहैशमैलवेयर भाग का SHA-256 हैश
76ca4a8afe19ab46e2f7f364fb76a166ce62efc7cf191f0f1be5ffff7f443f1bहैशमैलवेयर भाग का SHA-256 हैश
258445b5c086f67d1157c2998968bad83a64ca3bab88bfd9d73654819bb46463हैशसिस्टम जानकारी धरनेवाला का SHA-256 हैश

जंगली में व्यापक रेडलाइन वेरिएंट का पता चला

रेडलाइन चोर वितरण

जैसा कि मैंने पहले उल्लेख किया है, रेडलाइन स्टीलर अन्य वायरस के साथ एक अकेले मैलवेयर के साथ-साथ एक बंडल में आ सकता है। इसकी गतिविधि पिछली बार तेजी से बढ़ी, क्योंकि यह बदमाशों के लिए सुविधाजनक है और सतही वेब में भी इसे आसानी से खरीदा जा सकता है। उदाहरण के लिए, इसके डेवलपर्स के पास टेलीग्राम मेसेंजर में एक समूह है, जहां विभिन्न सदस्यता प्रकारों के तहत यह मैलवेयर पेश किया जाता है। चोरी करने वाले के पास उत्कृष्ट कार्यक्षमता है, इसलिए ये ऑफ़र कभी भी पुराने नहीं होते हैं।

Redline bot telegram

टेलीग्राम मैसेंजर में रेडलाइन मार्केटिंग बॉट

स्टैंड-अलोन रूप में, रेडलाइन स्टीलर आमतौर पर ईमेल फ़िशिंग के माध्यम से फैलता है। वैकल्पिक रूप से, इसे डिस्कॉर्ड, टेलीग्राम, स्टीम और क्रैक किए गए ऐप्स जैसे कुछ लोकप्रिय प्रोग्राम की इंस्टॉलेशन फ़ाइलों के रूप में छिपाया जा सकता है। एक विशिष्ट मामले में, RedLine एक ब्राउज़र एक्सटेंशन के रूप में दिखाई दिया, और इसका डाउनलोड लिंक YouTube वीडियो विवरण में एम्बेड किया गया था। हालाँकि, फ़िशिंग ईमेल संदेश मैलवेयर वितरण के सबसे शक्तिशाली और लोकप्रिय रूप बने हुए हैं – और RedLine Stealer कोई अपवाद नहीं है।

The example of a typical fraudulent email

The example of a typical phishing email

जब अन्य मैलवेयर के साथ एक साथ फैलने की बात आती है, तो RedLine को अक्सर विभिन्न रैंसमवेयर नमूनों के साथ जोड़ा जाता है। हालांकि, इन-बंडल प्रसार का सबसे बड़ा हिस्सा RedLine Djvu रैनसमवेयर के साथ कंपाउंड के बाद है। वास्तव में, इस रैंसमवेयर में न केवल यह चोरी करने वाला बल्कि 2 अन्य मैलवेयर – स्मोकलोडर बैकडोर और Vidar स्टीलर भी शामिल हैं। ऐसा पैकेज मूल्यवान डेटा के हर टुकड़े को दूर कर सकता है और कंप्यूटर को अन्य मैलवेयर से भर सकता है। और रैंसमवेयर के बारे में मत भूलिए – यह चीज़ पहले से ही आपकी फाइलों को गड़बड़ कर देगी।

Djvu रैंसमवेयर क्या है?

STOP/Djvu रैंसमवेयर लंबे समय तक जीवित रहने वाले साइबर अपराधी समूह का एक उल्लेखनीय उदाहरण है, जो ज्यादातर व्यक्तियों को आतंकित करता है। रैनसमवेयर बाजार में उन्होंने तेजी से एक प्रमुख स्थान प्राप्त किया, एक निश्चित समय में कुल रैंसमवेयर सबमिशन में 75% से अधिक हिस्सेदारी तक पहुंच गए। इन दिनों इसने इतना बड़ा टेंपो खो दिया है लेकिन यह हमेशा की तरह खतरनाक बना हुआ है। नए पीड़ितों की संख्या में शेड की भरपाई के लिए उपयोगकर्ता डिवाइस में लाए जाने वाले अतिरिक्त मैलवेयर की आवश्यकता हो सकती है। इससे पहले, वे Azorult स्टीलर को तैनात कर रहे थे लेकिन फिर हमने पहले बताए गए मैलवेयर पर स्विच कर दिया।

कैसे सुरक्षित रहें?

फैलने के तरीके जानने से आपको इसे रोकने के लिए बहुत अच्छे निर्देश मिलते हैं। ईमेल स्पैम प्रतिकार के तरीके सुप्रसिद्ध हैं और संभावित दृष्टिकोणों की एक विशाल विविधता है। वही मैलवेयर एक वैध एप्लिकेशन के भेष में फैल रहा है। ऐसे तरीके जो अद्वितीय और सामयिक तरीके पेश करते हैं, उनसे बचना सबसे कठिन है, लेकिन यह अभी भी संभव है।

स्पैम ईमेल को वास्तविक संदेशों से आसानी से पहचाना जा सकता है। लगभग हर गड़बड़ संदेश वास्तविक कंपनी या आपके परिचित प्रेषक की नकल करने की कोशिश करता है। हालाँकि, यह प्रेषक के पते की नकल नहीं कर सकता है, साथ ही भविष्यवाणी कर सकता है कि क्या आप उस पत्र की प्रतीक्षा कर रहे हैं। वास्तव में, वे स्वीकार कर सकते हैं कि प्रारंभिक फ़िशिंग के माध्यम से आपको कौन से ईमेल प्राप्त हो सकते हैं, लेकिन यह स्थिति बहुत दुर्लभ है। इसलिए, एक अजीब पत्र देखने के लिए आपको इसके प्रेषक के असामान्य पते के साथ प्राप्त नहीं होना चाहिए, जिसका अर्थ है कोई आपको मूर्ख बनाने की कोशिश करता है। अगर जानकारी आपको ठोस लगती है, तो बेहतर होगा कि आप मैन्युअल रूप से चीजों की जांच करें।

Email spam example

चारा ईमेल का विशिष्ट उदाहरण। अटैच की गई फ़ाइल में मैलवेयर है

नकली ऐप इंस्टॉलर को आपके अधिक ध्यान देने की आवश्यकता नहीं है, लेकिन आपको नियमों का पालन करने की आवश्यकता है। उदाहरण के लिए, वे नकली सामान अक्सर ऑनलाइन समुदायों में फैले होते हैं, जैसे कि डिस्कॉर्ड या रेडिट। उनका उपयोग करना जोखिम भरा है, विशेष रूप से एक बार जब आप वही इंस्टॉलर आधिकारिक साइट से मुफ्त में प्राप्त कर सकते हैं। जब टूटे हुए कार्यक्रमों की बात आती है, तो आपको एक बात याद रखनी चाहिए – दुनिया में कुछ भी मुफ़्त नहीं है। भले ही दरार वैध दिखती है, और आप प्रेषक के बारे में निश्चित हैं, उस फ़ाइल को एंटी-मैलवेयर सॉफ़्टवेयर से जांचना बेहतर है। मैलवेयर जोड़कर ऐप क्रैकिंग का मुद्रीकरण करने का एक बड़ा प्रलोभन है – हैकर वैसे भी कानून तोड़ते हैं। एक अन्य समाधान सॉफ्टवेयर की वास्तविक प्रतियों का उपयोग करना है – विक्रेता की वेबसाइट से भुगतान और डाउनलोड किया गया।

Discord virus

डिस्कॉर्ड के माध्यम से फैलने वाले मैलवेयर का उदाहरण

मुश्किल तरीकों का अनुमान लगाना लगभग असंभव है और सक्रिय रूप से पता लगाएं। हालाँकि, फ़ाइलें और एक्सटेंशन अपने आप लॉन्च नहीं होंगे। एक बार जब आप ऐसी स्थिति देखते हैं जिसके बारे में आप निश्चित नहीं हैं, तो सबसे अच्छा निर्णय एक शक्तिशाली सुरक्षा समाधान के साथ पूर्ण स्कैन लॉन्च करना है। यदि एक आधुनिक स्कैनिंग सिस्टम से सुसज्जित है, तो यह निश्चित रूप से असामान्य गतिविधियों को खोज लेगा जो मानव आंखों को दिखाई नहीं दे रहे हैं।

Sending
User Review
0 (0 votes)
Comments Rating 0 (0 reviews)

English German Japanese Spanish Portuguese, Brazil French Turkish Chinese (Traditional) Korean Indonesian Italian

About the author

Brendan Smith

I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

Leave a Reply

Sending