ClickFix अभियान MacSync macOS स्टीलर फैला रहे हैं, DRILLAPP बैकडोर Edge के ज़रिए यूक्रेन को निशाना बना रहा है, Storm-2561 फर्जी VPN क्रेडेंशियल चोरी, HPE AOS-CX क्रिटिकल दोष
तीन ClickFix सोशल इंजीनियरिंग अभियान फर्जी AI टूल इंस्टॉलर के ज़रिए MacSync macOS इन्फोस्टीलर वितरित कर रहे हैं। रूस से जुड़ा DRILLAPP JavaScript बैकडोर Microsoft Edge हेडलेस मोड का उपयोग यूक्रेनी लक्ष्यों के खिलाफ कर रहा है। Storm-2561 SEO पॉइज़निंग से प्रचारित फर्जी VPN क्लाइंट के ज़रिए क्रेडेंशियल चुराता है। HPE AOS-CX स्विच बिना प्रमाणीकरण के एडमिन पासवर्ड रीसेट के लिए असुरक्षित। GitHub रिपॉज़िटरी GlassWorm के बाद समझौता। ईरान से जुड़े अभिनेता अमेरिकी महत्वपूर्ण बुनियादी ढांचे पर हमले बढ़ा रहे हैं। दो AI सुरक्षा स्टार्टअप $80M संयुक्त फंडिंग के साथ सामने आए।
🍎 ClickFix अभियान MacSync macOS इन्फोस्टीलर वितरित कर रहे हैं
Sophos के शोधकर्ताओं ने तीन अलग-अलग ClickFix अभियानों की पहचान की है जो macOS उपयोगकर्ताओं को लक्षित करते हुए परिष्कृत सोशल इंजीनियरिंग रणनीतियों के माध्यम से MacSync macOS इन्फोस्टीलर वितरित कर रहे हैं। पारंपरिक exploit-आधारित हमलों के विपरीत, ये अभियान पूरी तरह से उपयोगकर्ताओं को टर्मिनल में दुर्भावनापूर्ण कमांड कॉपी और पेस्ट करने के लिए धोखा देने पर निर्भर हैं।
⚠️ क्रिटिकल: फर्जी AI टूल इंस्टॉलर
अभियान वैध AI टूल्स की नकल करते हैं जिसमें OpenAI Atlas ब्राउज़र, "Mac साफ करें" पर फर्जी ChatGPT बातचीत और यहां तक कि Anthropic Claude Code के फर्जी इंस्टॉलेशन पेज शामिल हैं। मालवर्टाइज़िंग अभियान Cloudflare Pages, Squarespace और Tencent EdgeOne पर होस्ट किए गए विश्वसनीय पेजों पर ट्रैफिक भेजते हैं।
हमले की कार्यप्रणाली
- पीड़ित एक विश्वसनीय दिखने वाली फर्जी AI टूल वेबसाइट पर जाता है
- पेज उपयोगकर्ता को टर्मिनल में एक कमांड कॉपी करके "इंस्टॉल" करने का निर्देश देता है
- पेस्ट किया गया कमांड MacSync इन्फोस्टीलर डाउनलोड और निष्पादित करता है
- MacSync क्रेडेंशियल, ब्राउज़र डेटा, क्रिप्टो वॉलेट और कीचेन प्रविष्टियां एकत्र करता है
फरवरी 2026 वेरिएंट: उन्नत क्षमताएं
- डायनामिक AppleScript पेलोड: स्टैटिक डिटेक्शन से बचने के लिए रनटाइम पर प्राप्त किए जाते हैं
- इन-मेमोरी एक्ज़ीक्यूशन: पेलोड पूरी तरह RAM में चलता है, न्यूनतम फॉरेंसिक निशान छोड़ता है
- मल्टी-स्टेज डिलीवरी: शुरुआती ड्रॉपर रोटेटिंग C2 इन्फ्रास्ट्रक्चर से कॉन्फ़िगरेशन प्राप्त करता है
macOS उपयोगकर्ता सुरक्षित नहीं हैं
macOS "मैलवेयर से सुरक्षित" होने के मिथक की निरंतरता इन सोशल इंजीनियरिंग हमलों को विशेष रूप से प्रभावी बनाती है। BYOD नीतियों या मिश्रित-OS वातावरण वाले संगठनों को macOS-विशिष्ट खतरों को कवर करने के लिए एंडपॉइंट सुरक्षा और जागरूकता प्रशिक्षण का विस्तार करना चाहिए।
NIS2 अनुच्छेद 21(2)(g): संगठनों को साइबर सुरक्षा जागरूकता प्रशिक्षण लागू करना चाहिए जो सोशल इंजीनियरिंग तकनीकों को कवर करे। GDPR अनुच्छेद 32: व्यक्तिगत डेटा संसाधित करने वाले कर्मचारी एंडपॉइंट की सुरक्षा में विफलता एक अपर्याप्त तकनीकी उपाय है।
🇺🇦 DRILLAPP JavaScript बैकडोर Edge हेडलेस मोड के ज़रिए यूक्रेन को निशाना बना रहा है
S2 Grupo की LAB52 शोध टीम ने DRILLAPP की खोज की है, एक नया JavaScript बैकडोर जो न्यायिक और दान-विषयक फ़िशिंग ल्यूर के माध्यम से यूक्रेनी संस्थाओं को लक्षित कर रहा है। इसे Laundry Bear (UAC-0190 / Void Blizzard) से जोड़ा गया है, जो रूस से जुड़ा एक खतरा अभिनेता है।
⚠️ खतरनाक ब्राउज़र दुरुपयोग
DRILLAPP अत्यंत खतरनाक कमांड-लाइन फ्लैग के साथ Microsoft Edge हेडलेस मोड का दुरुपयोग करता है: --no-sandbox, --disable-web-security, और --use-fake-ui-for-media-stream। यह बैकडोर को बिना किसी उपयोगकर्ता इंटरैक्शन के स्थानीय फ़ाइलों, माइक्रोफोन और वेबकैम तक पहुंच प्रदान करता है।
तकनीकी वास्तुकला
- प्रारंभिक वितरण: न्यायिक/दान विषयक ल्यूर दस्तावेज़ (संस्करण 1 में LNK फ़ाइलें; संस्करण 2 में Windows कंट्रोल पैनल मॉड्यूल)
- Dead drop resolver: C2 सर्वर पते प्राप्त करने के लिए Pastefy का उपयोग
- कमांड और कंट्रोल: रीयल-टाइम द्विदिशात्मक नियंत्रण के लिए WebSocket-आधारित संचार
- डेटा एक्सफ़िल्ट्रेशन: फ़ाइल एक्सेस, ऑडियो/वीडियो कैप्चर और कीस्ट्रोक लॉगिंग
NIS2 प्रासंगिकता: संघर्ष क्षेत्रों में संचालित सरकारी संस्थाएं, NGO और नागरिक समाज संगठन NIS2 की आवश्यक इकाई सुरक्षा के अंतर्गत आते हैं। वैध ब्राउज़र कार्यक्षमता का हमले के वेक्टर के रूप में उपयोग एप्लिकेशन व्हाइटलिस्टिंग और ब्राउज़र नीति प्रवर्तन की आवश्यकता को उजागर करता है।
🐍 ForceMemo: GlassWorm के बाद GitHub रिपॉज़िटरी समझौता
VS Code GlassWorm अभियान का प्रभाव विस्तारित होता जा रहा है। सैकड़ों GitHub खातों को मूल GlassWorm हमले के दौरान चुराए गए क्रेडेंशियल का उपयोग करके एक्सेस किया गया है, जिससे कई Python रिपॉज़िटरी से समझौता हुआ है।
आपूर्ति श्रृंखला कैस्केड प्रभाव
यह एक खतरनाक दूसरे क्रम का आपूर्ति श्रृंखला हमला है: एक अभियान (GlassWorm) से समझौता किए गए डेवलपर क्रेडेंशियल का उपयोग पूरी तरह से अलग परियोजनाओं में दुर्भावनापूर्ण कोड इंजेक्ट करने के लिए किया जा रहा है।
DORA अनुच्छेद 28: ओपन-सोर्स Python लाइब्रेरी का उपयोग करने वाली वित्तीय संस्थाओं को मूल्यांकन करना चाहिए कि उनकी डिपेंडेंसी प्रभावित हैं या नहीं और सॉफ्टवेयर कंपोज़िशन एनालिसिस (SCA) लागू करना चाहिए।
🔑 Storm-2561 क्रेडेंशियल चोरी के लिए फर्जी VPN क्लाइंट वितरित कर रहा है
Microsoft Threat Intelligence Storm-2561 को ट्रैक कर रही है, जो SEO पॉइज़निंग अभियानों के माध्यम से ट्रोजनाइज़्ड VPN क्लाइंट वितरित कर रहा है।
⚠️ SEO पॉइज़निंग हमला श्रृंखला
Storm-2561 सर्च इंजन परिणामों में हेरफेर करता है ताकि वैध VPN सॉफ्टवेयर खोजने वाले उपयोगकर्ता दुर्भावनापूर्ण डाउनलोड पेजों पर पहुंचें। डाउनलोड किया गया "VPN क्लाइंट" वैध VPN के साथ-साथ एक छिपा हुआ ट्रोजन भी इंस्टॉल करता है।
NIS2 अनुच्छेद 21(2)(j): संगठनों को सुनिश्चित करना चाहिए कि सभी VPN सॉफ्टवेयर विशेष रूप से सत्यापित विक्रेता स्रोतों से प्राप्त किया जाए और एप्लिकेशन व्हाइटलिस्टिंग लागू करें।
🔓 क्रिटिकल HPE AOS-CX भेद्यता — बिना प्रमाणीकरण के एडमिन पासवर्ड रीसेट
HPE Aruba Networking AOS-CX स्विच में एक क्रिटिकल भेद्यता दूरस्थ हमलावरों को बिना प्रमाणीकरण के एडमिनिस्ट्रेटर पासवर्ड रीसेट करने की अनुमति देती है।
⚠️ तुरंत पैच करें
यह भेद्यता बिना प्रमाणीकरण के दूरस्थ रूप से शोषण योग्य है। प्रबंधन इंटरफेस तक नेटवर्क एक्सेस वाला कोई भी हमलावर एडमिन क्रेडेंशियल रीसेट कर सकता है और स्विच इन्फ्रास्ट्रक्चर पर पूर्ण नियंत्रण प्राप्त कर सकता है।
| कारक | मूल्यांकन |
|---|---|
| हमले का वेक्टर | नेटवर्क (दूरस्थ) |
| प्रमाणीकरण आवश्यक | कोई नहीं |
| प्रभाव | नेटवर्क स्विच का पूर्ण प्रशासनिक नियंत्रण |
| शमन | तुरंत पैच लागू करें; प्रबंधन इंटरफेस एक्सेस सीमित करें |
🇮🇷 ईरान से जुड़े हैकर्स अमेरिकी महत्वपूर्ण बुनियादी ढांचे पर हमले बढ़ा रहे हैं
प्रो-ईरानी हैकिंग समूह मध्य पूर्व से परे अपने संचालन का विस्तार कर रहे हैं, अमेरिकी रक्षा ठेकेदारों, बिजली संयंत्रों और जल उपचार सुविधाओं को बढ़ते हुए निशाना बना रहे हैं।
Stryker Manufacturing पर हमला
चिकित्सा उपकरण निर्माता Stryker पर ईरान से जुड़े हमले ने विनिर्माण और शिपिंग संचालन को बाधित किया। हमलावरों ने कंपनी के अपने एंडपॉइंट प्रबंधन सॉफ्टवेयर का उपयोग उपकरणों को मिटाने के लिए किया — Living Off the Land तकनीक।
🚀 Bold Security और Onyx Security लॉन्च — AI सुरक्षा फंडिंग में $80M
दो AI सुरक्षा स्टार्टअप स्टेल्थ से बाहर आए हैं, प्रत्येक के पास $40 मिलियन की फंडिंग।
बाज़ार संकेत: AI सुरक्षा निवेश में उछाल
एक ही सप्ताह में दो AI सुरक्षा स्टार्टअप के लिए $80M संयुक्त फंडिंग बाज़ार की इस मान्यता को दर्शाती है कि पारंपरिक सुरक्षा दृष्टिकोण विकसित हो रहे खतरों के साथ तालमेल नहीं रख सकते।
Bold Security AI का उपयोग एंडपॉइंट उपकरणों को सक्रिय सुरक्षा एजेंटों में बदलने के लिए करता है। Onyx Security स्वायत्त AI एजेंट निगरानी के लिए एक नियंत्रण विमान बनाता है।
📋 आज की कार्रवाई सूची
- macOS सुरक्षा जागरूकता: टीमों को फर्जी AI टूल इंस्टॉलर के माध्यम से macOS को लक्षित करने वाले ClickFix अभियानों के बारे में सचेत करें
- ब्राउज़र नीति प्रवर्तन: Edge/Chrome हेडलेस मोड उपयोग का ऑडिट करें और सीमित करें; Group Policy के माध्यम से खतरनाक फ्लैग ब्लॉक करें
- Python डिपेंडेंसी ऑडिट: ForceMemo/GlassWorm समझौता श्रृंखला से संबंधित अनधिकृत कमिट के लिए सभी Python डिपेंडेंसी की समीक्षा करें
- VPN स्रोत सत्यापन: सुनिश्चित करें कि सभी VPN सॉफ्टवेयर विशेष रूप से सत्यापित विक्रेता स्रोतों से प्राप्त किया जाए
- HPE AOS-CX पैचिंग: क्रिटिकल भेद्यता के लिए HPE पैच तुरंत लागू करें
- एंडपॉइंट प्रबंधन ऑडिट: जांचें कि एंडपॉइंट प्रबंधन टूल्स तक किसकी पहुंच है
- क्रेडेंशियल रोटेशन: यदि आपका संगठन VS Code एक्सटेंशन या GitHub PAT का उपयोग करता है, तो सावधानी के तौर पर सभी क्रेडेंशियल रोटेट करें