मैक यूजर्स के लिए एक नई चेतावनी सामने आई है। क्रैशस्टीलर नाम का एक मालवेयर खुद को ऐप्पल के असली क्रैश रिपोर्टिंग टूल की तरह दिखाकर सिस्टम में घुस रहा है और चुपचाप पासवर्ड, ब्राउज़र डेटा, पासवर्ड मैनेजर की तिजोरी और क्रिप्टो वॉलेट तक चुरा ले रहा है।
ऐप्पल जैसा दिखने वाला यह मालवेयर काम कैसे करता है
साइबर सिक्योरिटी कंपनी जैमफ ने इस मैकओएस इन्फोस्टीलर की पहचान की है। इसकी सबसे बड़ी खासियत यही है कि यह देखने में बिल्कुल असली लगता है। यह क्रैशरिपोर्टर.ऐप नाम से मौजूद रहता है, इसका आइकन और मेटाडेटा भी ऐप्पल के असली डायग्नोस्टिक टूल जैसा ही रखा गया है, और इसे इंस्टॉल कराने वाला ड्रॉपर खुद ऐप्पल से साइन और नोटराइज्ड है। आमतौर पर नोटराइजेशन का मतलब होता है कि ऐप ऐप्पल की सुरक्षा जांच से गुजर चुका है, इसलिए यह कैंपेन इतना खतरनाक बन जाता है।
यूजर्स को यह मालवेयर पहली बार एक फर्जी वेबसाइट पर मिलता है, जो वर्कबिट नाम के एक मीटिंग प्लेटफॉर्म का प्रचार करती है। इस साइट तक पहुंचने के लिए भी एक पिन डालना पड़ता है, जिससे यह और भी भरोसेमंद लगने लगता है। इंस्टॉलेशन का पूरा प्रोसेस किसी आम ऐप जैसा ही दिखता है। यानी यह कोई तकनीकी खामी नहीं, बल्कि पूरी तरह सोशल इंजीनियरिंग पर टिका हमला है, जिसमें यूजर को खुद ही अपने मैक में यह मालवेयर इंस्टॉल करने के लिए फुसलाया जाता है। इसका तकनीकी ढांचा भी कुछ इस तरह बनाया गया है कि यह मैकओएस के बिल्ट-इन एंटी-मालवेयर टूल की नजरों से बच निकलता है।
नकली पासवर्ड प्रॉम्प्ट से होता है असली नुकसान
रन होते ही यह मालवेयर खुद को ऐप्पल का असली क्रैश रिपोर्टर बताते हुए एक ऐसा प्रॉम्प्ट दिखाता है जो सिस्टम प्रेफरेंसेज में बदलाव की इजाज़त मांगने वाले असली मैकओएस अलर्ट जैसा ही दिखता है। यूजर से बदलाव की मंजूरी देने के लिए पासवर्ड डालने को कहा जाता है। पर्दे के पीछे यह मालवेयर उस पासवर्ड को लोकली वेरिफाई करता है, और अगर पासवर्ड गलत निकले तो वही प्रॉम्प्ट बार बार तब तक दिखाया जाता रहता है, जब तक सही पासवर्ड न डाल दिया जाए।
यह जिद इसलिए मायने रखती है क्योंकि सिस्टम पासवर्ड मिलते ही हमलावर यूजर की कीचेन को अनलॉक कर सकते हैं, जो मैकओएस का वह एनक्रिप्टेड स्टोरेज है जहां सबसे संवेदनशील जानकारी सेव रहती है। एक बार यह अनलॉक हो जाए तो वाईफाई पासवर्ड, ऐप पासवर्ड, सर्टिफिकेट और टोकन जैसा सबकुछ सामने आ जाता है, यानी एक ही झटके में यूजर की डिजिटल जिंदगी की चाबी हमलावर के हाथ लग जाती है।
ब्राउज़र, पासवर्ड मैनेजर और क्रिप्टो वॉलेट भी निशाने पर
क्रैशस्टीलर सिर्फ कीचेन तक सीमित नहीं रहता। यह डॉक्यूमेंट्स और डाउनलोड्स फोल्डर की फाइलों के साथ साथ फायरफॉक्स और क्रोमियम आधारित ब्राउज़र में सेव क्रेडेंशियल और कुकीज़ भी उठा ले जाता है। इसे 14 अलग अलग पासवर्ड मैनेजर से डेटा चुराने के लिए तैयार किया गया है, जिनमें 1Password, बिटवर्डन, लास्टपास, डैशलेन, नॉर्डपास और कीपर जैसे लोकप्रिय ऐप शामिल हैं। इसके अलावा यह 80 अलग अलग क्रिप्टोकरेंसी वॉलेट एक्सटेंशन को भी निशाना बनाता है, जिससे यूजर्स की क्रिप्टो होल्डिंग सीधे खतरे में आ जाती है।
यह सारा डेटा चुराने के बाद मालवेयर उसे एनक्रिप्ट करता है, एक छिपी हुई ज़िप फाइल में पैक करता है और फिर उसे हमलावरों के अपने सर्वर पर अपलोड कर देता है, जिससे पीड़ित के लिए इसका पता लगाना भी मुश्किल हो जाता है।
क्रैशस्टीलर से मैक को कैसे बचाएं
यह पूरी तरह साफ नहीं है कि हमलावर इस खास मालवेयर को ठीक किस तरीके से फैला रहे हैं, लेकिन यह कैंपेन दिखाता है कि ऐसे ऑपरेशन कितने सोफिस्टिकेटेड हो चुके हैं और रास्ते में शायद ही कोई शक पैदा करते हैं। सबसे सुरक्षित तरीका यही है कि सतर्क रहा जाए, अगर किसी ऐप या सॉफ्टवेयर की असलियत को लेकर जरा भी शक हो तो उसे इंस्टॉल ही न किया जाए। अगर किसी को शक हो कि उसके डिवाइस में पहले से ही कोई मालवेयर मौजूद है, तो उसे नजरअंदाज करने के बजाय सही डिटेक्शन और रिमूवल के तरीके अपनाने चाहिए।
यह भी जरूरी है कि किसी भी ऐसे सिस्टम प्रोसेस को लेकर सतर्क रहा जाए जो चलने से पहले पासवर्ड मांगता है, क्योंकि यह एक ऐसा काम है जिसे ज्यादातर लोग बिना सोचे समझे बार बार कर देते हैं। क्रैशस्टीलर के मामले में यह याद रखना जरूरी है कि ऐप्पल को भेजी जाने वाली असली क्रैश रिपोर्ट और डायग्नोस्टिक जानकारी के लिए कभी पासवर्ड की जरूरत नहीं होती। यूजर से बस यह पूछा जा सकता है कि क्या वे यह जानकारी भेजना चाहते हैं, लेकिन इसके लिए सिस्टम क्रेडेंशियल से इसे प्रमाणित करने की कोई वजह नहीं होती।











