SambaSpy मैलवेयर

हाल ही में खोजा गया मैलवेयर, जिसे सांबास्पाई कहा जाता है, ब्राजील के एक संदिग्ध पुर्तगाली-भाषी खतरे वाले अभिनेता द्वारा संचालित फ़िशिंग अभियान के माध्यम से विशेष रूप से इटली में उपयोगकर्ताओं को लक्षित कर रहा है। अधिकांश खतरे वाले अभिनेताओं के विपरीत, जो आम तौर पर लाभ को अधिकतम करने के लिए व्यापक दर्शकों को लक्षित करते हैं, यह समूह केवल इटली पर ध्यान केंद्रित करता हुआ प्रतीत होता है। यह संभव है कि वे अपनी गतिविधियों को अन्य क्षेत्रों में विस्तारित करने से पहले एक परीक्षण चलाने के रूप में इस केंद्रित दृष्टिकोण का उपयोग कर रहे हों।

SambaSpy हमले फ़िशिंग संदेशों से शुरू होते हैं

यह हमला एक फ़िशिंग ईमेल से शुरू होता है जिसमें या तो HTML अटैचमेंट या एम्बेडेड लिंक होता है जो संक्रमण प्रक्रिया को ट्रिगर करता है। यदि HTML अटैचमेंट को खोला जाता है, तो यह एक डाउनलोडर या ड्रॉपर के साथ एक ज़िप आर्काइव दिखाता है, जो मल्टी-फंक्शनल RAT पेलोड को तैनात और निष्पादित करता है।

डाउनलोडर दूरस्थ सर्वर से मैलवेयर प्राप्त करता है, जबकि ड्रॉपर पेलोड को किसी बाह्य स्रोत के बजाय सीधे संग्रह से निकालता है।

धोखाधड़ी वाले लिंक से जुड़ी दूसरी संक्रमण श्रृंखला अधिक परिष्कृत है। यदि किसी अनपेक्षित लक्ष्य द्वारा क्लिक किया जाता है, तो यह उपयोगकर्ता को FattureInCloud पर होस्ट किए गए वैध चालान पर पुनर्निर्देशित करता है, जिससे धोखे की एक परत जुड़ जाती है।

SambaSpy खतरे की डिलीवरी के लिए वैकल्पिक परिदृश्य

एक अन्य परिदृश्य में, उसी URL पर क्लिक करने से पीड़ित को एक संक्रमित वेब सर्वर पर ले जाया जाता है, जो जावास्क्रिप्ट कोड के साथ एक HTML पृष्ठ प्रदर्शित करता है, जिसमें ब्राजीलियाई पुर्तगाली भाषा में टिप्पणियां होती हैं।

यह पृष्ठ उपयोगकर्ताओं को दूषित OneDrive लिंक पर रीडायरेक्ट करता है, लेकिन केवल तभी जब वे Edge, Firefox या Chrome का उपयोग कर रहे हों और उनकी भाषा इतालवी पर सेट हो। यदि ये शर्तें पूरी नहीं होती हैं, तो उपयोगकर्ता उसी पृष्ठ पर बने रहते हैं। जो लोग जाँच में पास हो जाते हैं, उनके लिए Microsoft OneDrive पर होस्ट किया गया एक PDF दस्तावेज़ प्रस्तुत किया जाता है, जिसमें उन्हें दस्तावेज़ देखने के लिए हाइपरलिंक पर क्लिक करने का निर्देश दिया जाता है। यह उन्हें MediaFire पर एक धोखाधड़ी वाली JAR फ़ाइल पर ले जाता है, जिसमें पिछले मामलों की तरह डाउनलोडर या ड्रॉपर होता है।

SambaSpy विभिन्न प्रकार की खतरनाक क्षमताओं से लैस है

सांबास्पाई जावा में विकसित एक बहुमुखी रिमोट एक्सेस ट्रोजन (आरएटी) है, जो साइबर अपराधियों के लिए स्विस आर्मी चाकू की तरह काम करता है। यह फ़ाइल सिस्टम और प्रक्रिया प्रबंधन, रिमोट डेस्कटॉप नियंत्रण, फ़ाइल अपलोड/डाउनलोड, वेबकैम एक्सेस, कीलॉगिंग, क्लिपबोर्ड ट्रैकिंग, स्क्रीनशॉट कैप्चर और रिमोट शेल एक्सेस सहित कई तरह की क्षमताएँ प्रदान करता है।

मैलवेयर पहले से डाउनलोड की गई फ़ाइलों को निष्पादित करके रनटाइम पर अतिरिक्त प्लगइन भी लोड कर सकता है, जिससे यह आवश्यकतानुसार अपने कार्यों को बढ़ाने में सक्षम हो जाता है। इसके अलावा, इसे क्रोम, एज, ओपेरा, ब्रेव, इरिडियम और विवाल्डी जैसे लोकप्रिय वेब ब्राउज़र से क्रेडेंशियल प्राप्त करने के लिए डिज़ाइन किया गया है।

बुनियादी ढांचे के सुराग संकेत देते हैं कि सांबास्पाई के पीछे का खतरा पैदा करने वाला व्यक्ति ब्राजील और स्पेन में अपने परिचालन का विस्तार कर सकता है। ब्राजील से कई संबंध, जैसे कि कोड में भाषा के निशान और ब्राजील के उपयोगकर्ताओं को लक्षित करने वाले डोमेन, ब्राजील की उत्पत्ति का संकेत देते हैं। यह एक व्यापक प्रवृत्ति के अनुरूप है जहां लैटिन अमेरिकी हमलावर अक्सर भाषाई रूप से समान बाजारों वाले यूरोपीय देशों को निशाना बनाते हैं, जैसे कि इटली, स्पेन और पुर्तगाल।