ਓਸਾਬਨ ਬੈਂਕਿੰਗ ਟਰੋਜਨ
ਸੁਰੱਖਿਆ ਮਾਹਰ ਸਾਵਧਾਨ ਕਰਦੇ ਹਨ ਕਿ ਹੈਕਰ ਵੱਡੀ ਮਾਤਰਾ ਵਿੱਚ ਬੈਂਕਿੰਗ ਟਰੋਜਨਾਂ ਦਾ ਪ੍ਰਸਾਰ ਕਰਨ ਲਈ Google ਕਲਾਉਡ ਰਨ ਸੇਵਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੇ ਹਨ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਵੱਖ-ਵੱਖ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਓਸਾਬਨ, ਹੋਰ ਬੈਂਕਿੰਗ ਟਰੋਜਨਾਂ ਜਿਵੇਂ ਕਿ ਅਸਟਾਰੋਥ ਅਤੇ ਮੇਕੋਟਿਓ ।
ਗੂਗਲ ਕਲਾਉਡ ਰਨ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਪ੍ਰਬੰਧਨ ਜਾਂ ਸਕੇਲਿੰਗ ਦੀਆਂ ਜਟਿਲਤਾਵਾਂ ਦੇ ਬਿਨਾਂ ਵਰਕਲੋਡ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ, ਫਰੰਟਐਂਡ ਅਤੇ ਬੈਕਐਂਡ ਸੇਵਾਵਾਂ, ਵੈੱਬਸਾਈਟਾਂ ਜਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਸ਼ਕਤੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਵੰਡ ਲਈ Google ਦੀ ਸੇਵਾ ਦੀ ਦੁਰਵਰਤੋਂ ਪਹਿਲੀ ਵਾਰ ਸਤੰਬਰ 2023 ਵਿੱਚ ਦੇਖੀ ਗਈ ਸੀ ਜਦੋਂ ਬ੍ਰਾਜ਼ੀਲੀਅਨ ਅਦਾਕਾਰਾਂ ਨੇ ਮਾਲਵੇਅਰ ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ MSI ਇੰਸਟੌਲਰ ਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ ਸ਼ੁਰੂ ਕੀਤੀਆਂ ਸਨ।
ਸਾਈਬਰ ਅਪਰਾਧੀ ਬੈਂਕਿੰਗ ਟਰੋਜਨ ਧਮਕੀਆਂ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਫਿਸ਼ਿੰਗ ਰਣਨੀਤੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ
ਹਮਲੇ ਸੰਭਾਵੀ ਪੀੜਤਾਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ, ਜੋ ਕਿ ਸਥਾਨਕ ਸਰਕਾਰਾਂ ਅਤੇ ਟੈਕਸ ਏਜੰਸੀਆਂ ਤੋਂ ਕਥਿਤ ਤੌਰ 'ਤੇ ਇਨਵੌਇਸਾਂ, ਵਿੱਤੀ ਸਟੇਟਮੈਂਟਾਂ, ਜਾਂ ਸੰਦੇਸ਼ਾਂ ਨਾਲ ਸਬੰਧਤ ਅਸਲ ਸੰਚਾਰਾਂ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਕੁਸ਼ਲਤਾ ਨਾਲ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ ਜ਼ਿਆਦਾਤਰ ਈਮੇਲਾਂ ਸਪੈਨਿਸ਼ ਵਿੱਚ ਹਨ, ਲਾਤੀਨੀ ਅਮਰੀਕਾ ਦੇ ਦੇਸ਼ਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਹਨ, ਪਰ ਅਜਿਹੀਆਂ ਉਦਾਹਰਣਾਂ ਹਨ ਜਿੱਥੇ ਇਟਾਲੀਅਨ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹਨਾਂ ਧੋਖਾ ਦੇਣ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਵਿੱਚ ਉਹ ਲਿੰਕ ਹੁੰਦੇ ਹਨ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ Google ਕਲਾਉਡ ਰਨ 'ਤੇ ਹੋਸਟ ਕੀਤੀਆਂ ਖਤਰਨਾਕ ਵੈੱਬ ਸੇਵਾਵਾਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦੇ ਹਨ।
ਕੁਝ ਸਥਿਤੀਆਂ ਵਿੱਚ, ਪੇਲੋਡ MSI ਫਾਈਲਾਂ ਦੁਆਰਾ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਵਿਕਲਪਕ ਤੌਰ 'ਤੇ, ਸੇਵਾ Google ਕਲਾਉਡ ਸਟੋਰੇਜ ਟਿਕਾਣੇ 'ਤੇ 302 ਰੀਡਾਇਰੈਕਟ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ, ਜਿੱਥੇ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਜਿਸ ਵਿੱਚ ਧਮਕੀ ਭਰੀ MSI ਫਾਈਲ ਸਟੋਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਪੀੜਤਾਂ ਦੁਆਰਾ ਖਤਰਨਾਕ MSI ਫਾਈਲਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ 'ਤੇ, ਵਾਧੂ ਹਿੱਸੇ ਅਤੇ ਪੇਲੋਡ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮਾਂ 'ਤੇ ਡਾਉਨਲੋਡ ਅਤੇ ਲਾਗੂ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਦੇਖੇ ਗਏ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਦੂਜੇ ਪੜਾਅ ਦੀ ਪੇਲੋਡ ਡਿਲੀਵਰੀ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਟੂਲ 'BITSAdmin' ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ।
ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਅਤੇ ਰੀਬੂਟ ਤੋਂ ਬਚਣ ਲਈ, ਮਾਲਵੇਅਰ ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ ਵਿੱਚ LNK ਫਾਈਲਾਂ ('sysupdates.setup.lnk') ਜੋੜ ਕੇ ਪੀੜਤ ਦੇ ਸਿਸਟਮ 'ਤੇ ਆਪਣੇ ਆਪ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ। ਇਹ LNK ਫਾਈਲਾਂ ਇੱਕ PowerShell ਕਮਾਂਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸੰਰਚਿਤ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ ਜੋ ਬਦਲੇ ਵਿੱਚ, ਲਾਗ ਸਕ੍ਰਿਪਟ ('AutoIT') ਨੂੰ ਚਲਾਉਂਦੀਆਂ ਹਨ।
ਛੇੜਛਾੜ ਵਾਲੇ ਯੰਤਰ ਪੀੜਤਾਂ ਦੇ ਵਿੱਤੀ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਨਾਲ ਸੰਕਰਮਿਤ ਹਨ
ਗੂਗਲ ਕਲਾਉਡ ਰਨ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਤਿੰਨ ਬੈਂਕਿੰਗ ਟਰੋਜਨ ਸ਼ਾਮਲ ਹਨ: ਓਸਾਬਨ, ਅਸਟਾਰੋਥ ਅਤੇ ਮੇਕੋਟਿਓ। ਹਰੇਕ ਟਰੋਜਨ ਨੂੰ ਸਿਸਟਮਾਂ ਵਿੱਚ ਚੋਰੀ-ਚੋਰੀ ਘੁਸਪੈਠ ਕਰਨ, ਸਥਿਰਤਾ ਕਾਇਮ ਕਰਨ ਅਤੇ ਬੈਂਕਿੰਗ ਖਾਤਿਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਲਈ ਗੈਰ-ਕਾਨੂੰਨੀ ਤੌਰ 'ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਵਿੱਤੀ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
Ousaban, ਇੱਕ ਬੈਂਕਿੰਗ ਟਰੋਜਨ, ਕੋਲ ਨਕਲੀ (ਕਲੋਨ ਕੀਤੇ) ਬੈਂਕਿੰਗ ਪੋਰਟਲਾਂ ਰਾਹੀਂ ਬੈਂਕਿੰਗ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਲਈ ਕੀਲੌਗਿੰਗ, ਸਕਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰਨ ਅਤੇ ਫਿਸ਼ਿੰਗ ਵਰਗੀਆਂ ਸਮਰੱਥਾਵਾਂ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਕਿ ਓਸਾਬਨ ਨੂੰ ਅਸਟਾਰੋਥ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦੇ ਬਾਅਦ ਦੇ ਪੜਾਅ 'ਤੇ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਦੋ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦੇ ਆਪਰੇਟਰਾਂ ਦੇ ਵਿਚਕਾਰ ਸੰਭਾਵੀ ਸਹਿਯੋਗ ਜਾਂ ਦੋਵਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਵਾਲੇ ਇੱਕ ਸਿੰਗਲ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਦੀ ਸ਼ਮੂਲੀਅਤ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ।
Astaroth ਉੱਨਤ ਚੋਰੀ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਅਤੇ ਸ਼ੁਰੂ ਵਿੱਚ ਬ੍ਰਾਜ਼ੀਲ ਦੇ ਟੀਚਿਆਂ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ ਪਰ ਇਸ ਨੇ ਲਾਤੀਨੀ ਅਮਰੀਕਾ ਦੇ 15 ਦੇਸ਼ਾਂ ਵਿੱਚ 300 ਤੋਂ ਵੱਧ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਤੱਕ ਆਪਣਾ ਦਾਇਰਾ ਵਧਾ ਦਿੱਤਾ ਹੈ। ਹਾਲ ਹੀ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਨੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਐਕਸਚੇਂਜ ਸੇਵਾਵਾਂ ਲਈ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠੇ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ ਹੈ। ਕੀਲੌਗਿੰਗ, ਸਕਰੀਨ ਕੈਪਚਰ, ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਨਿਗਰਾਨੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, Astaroth ਨਾ ਸਿਰਫ਼ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਚੋਰੀ ਕਰਦਾ ਹੈ ਬਲਕਿ ਬੈਂਕਿੰਗ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਹਾਸਲ ਕਰਨ ਲਈ ਇੰਟਰਨੈਟ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕਦਾ ਅਤੇ ਹੇਰਾਫੇਰੀ ਵੀ ਕਰਦਾ ਹੈ।
ਮੇਕੋਟਿਓ, ਕਈ ਸਾਲਾਂ ਤੋਂ ਸਰਗਰਮ, ਲਾਤੀਨੀ ਅਮਰੀਕੀ ਖੇਤਰ 'ਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ। ਬੈਂਕਿੰਗ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਨੂੰ ਚੋਰੀ ਕਰਨ ਅਤੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਲੈਣ-ਦੇਣ ਨੂੰ ਚਲਾਉਣ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਮੇਕੋਟਿਓ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਫਿਸ਼ਿੰਗ ਸਾਈਟਾਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਲਈ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਨਾਲ ਹੇਰਾਫੇਰੀ ਕਰ ਸਕਦਾ ਹੈ।
