SambaSpy मालवेयर

नयाँ पत्ता लागेको मालवेयर, डब SambaSpy, विशेष गरी ब्राजिलका एक संदिग्ध पोर्तुगाली-भाषी खतरा अभिनेताको नेतृत्वमा फिसिङ अभियान मार्फत इटालीका प्रयोगकर्ताहरूलाई लक्षित गर्दैछ। धेरै जसो खतरा अभिनेताहरूको विपरीत, जसले सामान्यतया फराकिलो दर्शकहरूलाई अधिकतम लाभ लिनको लागि लक्ष्य राख्दछ, यो समूहले इटालीमा मात्र ध्यान केन्द्रित गरेको देखिन्छ। यो सम्भव छ कि तिनीहरूले आफ्नो गतिविधिहरू अन्य क्षेत्रहरूमा विस्तार गर्नु अघि परीक्षण रनको रूपमा यो केन्द्रित दृष्टिकोण प्रयोग गर्दैछन्।

SambaSpy आक्रमणहरू फिसिङ सन्देशहरूबाट सुरु हुन्छ

आक्रमण फिसिङ इमेलबाट सुरु हुन्छ कि त एचटीएमएल एट्याचमेन्ट वा इम्बेडेड लिङ्क जसले संक्रमण प्रक्रियालाई ट्रिगर गर्छ। यदि HTML एट्याचमेन्ट खोलिएको छ भने, यसले डाउनलोडर वा ड्रपरको साथ जिप अभिलेख देखाउँछ, जसले बहु-कार्यात्मक RAT पेलोडलाई डिप्लोय र कार्यान्वयन गर्दछ।

डाउनलोडरले रिमोट सर्भरबाट मालवेयर पुन: प्राप्त गर्दछ, जबकि ड्रपरले बाह्य स्रोतको सट्टा अभिलेखबाट सीधै पेलोड निकाल्छ।

धोखाधडी लिङ्क समावेश गर्ने दोस्रो संक्रमण श्रृंखला अधिक परिष्कृत छ। यदि अनावश्यक लक्ष्यद्वारा क्लिक गरियो भने, यसले प्रयोगकर्तालाई FattureInCloud मा होस्ट गरिएको वैध इनभ्वाइसमा रिडिरेक्ट गर्छ, छलको तह थप्दै।

SambaSpy खतराको डेलिभरीको लागि वैकल्पिक परिदृश्य

अर्को परिदृश्यमा, उही URL मा क्लिक गर्दा पीडितलाई एक सम्झौता गरिएको वेब सर्भरमा निर्देशित गर्दछ जसले ब्राजिलियन पोर्तुगालीमा टिप्पणीहरू समावेश भएको JavaScript कोडको साथ HTML पृष्ठ प्रदर्शन गर्दछ।

यो पृष्ठले प्रयोगकर्ताहरूलाई दूषित OneDrive लिङ्कमा रिडिरेक्ट गर्छ, तर यदि तिनीहरूले Edge, Firefox वा Chrome प्रयोग गर्दैछन् भने तिनीहरूको भाषा इटालियनमा सेट गरिएको छ। यदि यी सर्तहरू पूरा भएन भने, प्रयोगकर्ताहरू एउटै पृष्ठमा रहन्छन्। चेकहरू पास गर्नेहरूका लागि, Microsoft OneDrive मा होस्ट गरिएको PDF कागजात प्रस्तुत गरिएको छ, तिनीहरूलाई कागजात हेर्न हाइपरलिङ्क क्लिक गर्न निर्देशन दिँदै। यसले तिनीहरूलाई मिडियाफायरमा जालसाजी JAR फाइलमा लैजान्छ, जसमा डाउनलोडर वा ड्रपर समावेश हुन्छ, अघिल्लो केसहरूमा जस्तै।

SambaSpy धम्की दिने क्षमताहरूको विविध सेटले सुसज्जित छ

SambaSpy एक बहुमुखी रिमोट एक्सेस ट्रोजन (RAT) हो जाभामा विकसित, साइबर अपराधीहरूका लागि स्विस आर्मी चक्कु जस्तै काम गर्दछ। यसले फाइल प्रणाली र प्रक्रिया व्यवस्थापन, रिमोट डेस्कटप नियन्त्रण, फाइल अपलोड/डाउनलोड, वेबक्याम पहुँच, कीलगिङ, क्लिपबोर्ड ट्र्याकिङ, स्क्रिनसट क्याप्चर, र रिमोट शेल पहुँच सहित क्षमताहरूको विस्तृत दायरा प्रदान गर्दछ।

मालवेयरले पहिले डाउनलोड गरिएका फाइलहरू कार्यान्वयन गरेर रनटाइममा अतिरिक्त प्लगइनहरू लोड गर्न सक्छ, यसलाई आवश्यक रूपमा यसको कार्यहरू बढाउन सक्षम पार्दै। यसबाहेक, यो लोकप्रिय वेब ब्राउजरहरू जस्तै क्रोम, एज, ओपेरा, ब्रेभ, इरिडियम र भिवाल्डीबाट प्रमाणहरू फसल गर्न डिजाइन गरिएको हो।

पूर्वाधार सुरागहरूले संकेत गर्दछ कि SambaSpy पछाडिको खतरा अभिनेताले ब्राजिल र स्पेनमा अपरेशनहरू विस्तार गरिरहेको हुन सक्छ। ब्राजिलसँग धेरै जडानहरू, जस्तै कोडमा भाषा ट्रेसहरू र ब्राजिलियन प्रयोगकर्ताहरूलाई लक्षित डोमेनहरू, ब्राजिलियन मूलको सुझाव दिन्छ। यो फराकिलो प्रवृतिमा फिट हुन्छ जहाँ ल्याटिन अमेरिकी आक्रमणकारीहरूले प्राय: इटाली, स्पेन र पोर्चुगल जस्ता भाषिक रूपमा समान बजारहरू भएका युरोपेली देशहरूलाई लक्षित गर्छन्।