SambaSpy ਮਾਲਵੇਅਰ

ਇੱਕ ਨਵਾਂ ਖੋਜਿਆ ਮਾਲਵੇਅਰ, ਜਿਸਨੂੰ SambaSpy ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਬ੍ਰਾਜ਼ੀਲ ਦੇ ਇੱਕ ਸ਼ੱਕੀ ਪੁਰਤਗਾਲੀ ਬੋਲਣ ਵਾਲੇ ਧਮਕੀ ਅਦਾਕਾਰ ਦੀ ਅਗਵਾਈ ਵਿੱਚ ਇੱਕ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਰਾਹੀਂ ਇਟਲੀ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਜ਼ਿਆਦਾਤਰ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੇ ਉਲਟ, ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਵੱਧ ਤੋਂ ਵੱਧ ਲਾਭ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਵਿਸ਼ਾਲ ਦਰਸ਼ਕਾਂ ਲਈ ਟੀਚਾ ਰੱਖਦੇ ਹਨ, ਇਹ ਸਮੂਹ ਪੂਰੀ ਤਰ੍ਹਾਂ ਇਟਲੀ 'ਤੇ ਕੇਂਦ੍ਰਤ ਹੁੰਦਾ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਹੈ। ਇਹ ਸੰਭਵ ਹੈ ਕਿ ਉਹ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਦੂਜੇ ਖੇਤਰਾਂ ਵਿੱਚ ਵਧਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਟੈਸਟ ਰਨ ਦੇ ਤੌਰ 'ਤੇ ਇਸ ਕੇਂਦਰਿਤ ਪਹੁੰਚ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ।

SambaSpy ਹਮਲੇ ਫਿਸ਼ਿੰਗ ਸੁਨੇਹਿਆਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ

ਹਮਲਾ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਜਾਂ ਤਾਂ ਇੱਕ HTML ਅਟੈਚਮੈਂਟ ਜਾਂ ਇੱਕ ਏਮਬੈਡਡ ਲਿੰਕ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਜੋ ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ। ਜੇਕਰ HTML ਅਟੈਚਮੈਂਟ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਇੱਕ ਡਾਉਨਲੋਡਰ ਜਾਂ ਡਰਾਪਰ ਦੇ ਨਾਲ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ, ਜੋ ਬਹੁ-ਕਾਰਜਸ਼ੀਲ RAT ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਅਤੇ ਲਾਗੂ ਕਰਦਾ ਹੈ।

ਡਾਊਨਲੋਡਰ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਮਾਲਵੇਅਰ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਡਰਾਪਰ ਕਿਸੇ ਬਾਹਰੀ ਸਰੋਤ ਦੀ ਬਜਾਏ ਆਰਕਾਈਵ ਤੋਂ ਸਿੱਧੇ ਪੇਲੋਡ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਦਾ ਹੈ।

ਧੋਖਾਧੜੀ ਵਾਲੇ ਲਿੰਕ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀ ਦੂਜੀ ਲਾਗ ਚੇਨ ਵਧੇਰੇ ਗੁੰਝਲਦਾਰ ਹੈ। ਜੇਕਰ ਕਿਸੇ ਅਣਇੱਛਤ ਟੀਚੇ ਦੁਆਰਾ ਕਲਿੱਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਉਪਭੋਗਤਾ ਨੂੰ ਧੋਖੇ ਦੀ ਇੱਕ ਪਰਤ ਜੋੜਦੇ ਹੋਏ, FattureInCloud 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਇੱਕ ਜਾਇਜ਼ ਇਨਵੌਇਸ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ।

SambaSpy ਧਮਕੀ ਦੀ ਸਪੁਰਦਗੀ ਲਈ ਵਿਕਲਪਕ ਦ੍ਰਿਸ਼

ਇੱਕ ਹੋਰ ਦ੍ਰਿਸ਼ ਵਿੱਚ, ਉਸੇ URL 'ਤੇ ਕਲਿੱਕ ਕਰਨਾ ਪੀੜਤ ਨੂੰ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ ਵੈੱਬ ਸਰਵਰ ਵੱਲ ਭੇਜਦਾ ਹੈ ਜੋ ਬ੍ਰਾਜ਼ੀਲੀ ਪੁਰਤਗਾਲੀ ਵਿੱਚ ਟਿੱਪਣੀਆਂ ਵਾਲੇ JavaScript ਕੋਡ ਵਾਲਾ ਇੱਕ HTML ਪੰਨਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ।

ਇਹ ਪੰਨਾ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਖਰਾਬ OneDrive ਲਿੰਕ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ, ਪਰ ਸਿਰਫ ਤਾਂ ਹੀ ਜੇਕਰ ਉਹ Edge, Firefox ਜਾਂ Chrome ਦੀ ਵਰਤੋਂ ਆਪਣੀ ਭਾਸ਼ਾ ਇਤਾਲਵੀ 'ਤੇ ਕਰ ਰਹੇ ਹਨ। ਜੇਕਰ ਇਹ ਸ਼ਰਤਾਂ ਪੂਰੀਆਂ ਨਹੀਂ ਹੁੰਦੀਆਂ ਹਨ, ਤਾਂ ਉਪਭੋਗਤਾ ਉਸੇ ਪੰਨੇ 'ਤੇ ਰਹਿੰਦੇ ਹਨ। ਚੈੱਕ ਪਾਸ ਕਰਨ ਵਾਲਿਆਂ ਲਈ, Microsoft OneDrive 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਇੱਕ PDF ਦਸਤਾਵੇਜ਼ ਪੇਸ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਉਹਨਾਂ ਨੂੰ ਦਸਤਾਵੇਜ਼ ਦੇਖਣ ਲਈ ਇੱਕ ਹਾਈਪਰਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ। ਇਹ ਉਹਨਾਂ ਨੂੰ ਮੀਡੀਆਫਾਇਰ 'ਤੇ ਇੱਕ ਧੋਖਾਧੜੀ JAR ਫਾਈਲ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਜਾਂ ਤਾਂ ਡਾਊਨਲੋਡਰ ਜਾਂ ਡਰਾਪਰ ਹੁੰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਪਿਛਲੇ ਮਾਮਲਿਆਂ ਵਿੱਚ।

SambaSpy ਧਮਕੀ ਦੇਣ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦੇ ਵਿਭਿੰਨ ਸਮੂਹ ਨਾਲ ਲੈਸ ਹੈ

SambaSpy ਜਾਵਾ ਵਿੱਚ ਵਿਕਸਤ ਇੱਕ ਬਹੁਮੁਖੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਹੈ, ਜੋ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਲਈ ਇੱਕ ਸਵਿਸ ਆਰਮੀ ਚਾਕੂ ਵਾਂਗ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਫਾਈਲ ਸਿਸਟਮ ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਪ੍ਰਬੰਧਨ, ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਕੰਟਰੋਲ, ਫਾਈਲ ਅਪਲੋਡ/ਡਾਊਨਲੋਡ, ਵੈਬਕੈਮ ਐਕਸੈਸ, ਕੀਲੌਗਿੰਗ, ਕਲਿੱਪਬੋਰਡ ਟਰੈਕਿੰਗ, ਸਕ੍ਰੀਨਸ਼ੌਟ ਕੈਪਚਰ, ਅਤੇ ਰਿਮੋਟ ਸ਼ੈੱਲ ਐਕਸੈਸ ਸਮੇਤ ਬਹੁਤ ਸਾਰੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ।

ਮਾਲਵੇਅਰ ਰਨਟਾਈਮ 'ਤੇ ਪਹਿਲਾਂ ਡਾਉਨਲੋਡ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਲਾਗੂ ਕਰਕੇ ਵਾਧੂ ਪਲੱਗਇਨ ਲੋਡ ਕਰ ਸਕਦਾ ਹੈ, ਇਸ ਨੂੰ ਲੋੜ ਅਨੁਸਾਰ ਆਪਣੇ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਵਧਾਉਣ ਲਈ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਸਨੂੰ ਕ੍ਰੋਮ, ਐਜ, ਓਪੇਰਾ, ਬ੍ਰੇਵ, ਇਰੀਡੀਅਮ ਅਤੇ ਵਿਵਾਲਡੀ ਵਰਗੇ ਪ੍ਰਸਿੱਧ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਸੁਰਾਗ ਇਹ ਸੰਕੇਤ ਦਿੰਦੇ ਹਨ ਕਿ SambaSpy ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਦਾ ਅਭਿਨੇਤਾ ਬ੍ਰਾਜ਼ੀਲ ਅਤੇ ਸਪੇਨ ਤੱਕ ਕਾਰਜਾਂ ਦਾ ਵਿਸਤਾਰ ਕਰ ਸਕਦਾ ਹੈ। ਬ੍ਰਾਜ਼ੀਲ ਨਾਲ ਕਈ ਕਨੈਕਸ਼ਨ, ਜਿਵੇਂ ਕਿ ਕੋਡ ਵਿੱਚ ਭਾਸ਼ਾ ਦੇ ਟਰੇਸ ਅਤੇ ਬ੍ਰਾਜ਼ੀਲੀਅਨ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਡੋਮੇਨ, ਇੱਕ ਬ੍ਰਾਜ਼ੀਲੀਅਨ ਮੂਲ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ। ਇਹ ਇੱਕ ਵਿਆਪਕ ਰੁਝਾਨ ਨੂੰ ਫਿੱਟ ਕਰਦਾ ਹੈ ਜਿੱਥੇ ਲਾਤੀਨੀ ਅਮਰੀਕੀ ਹਮਲਾਵਰ ਅਕਸਰ ਭਾਸ਼ਾਈ ਤੌਰ 'ਤੇ ਸਮਾਨ ਬਾਜ਼ਾਰਾਂ ਵਾਲੇ ਯੂਰਪੀਅਨ ਦੇਸ਼ਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਇਟਲੀ, ਸਪੇਨ ਅਤੇ ਪੁਰਤਗਾਲ।