SapphireStealer ਮਾਲਵੇਅਰ
ਕਈ ਸਮੂਹ ਆਪਣੀ ਸਮਰੱਥਾ ਨੂੰ ਵਧਾਉਣ ਅਤੇ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣ ਬਣਾਉਣ ਲਈ .NET ਫਰੇਮਵਰਕ 'ਤੇ ਬਣੇ SapphireStealer ਨਾਮਕ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਜਾਣਕਾਰੀ-ਇਕੱਤਰ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੇ ਹਨ। ਸਾਈਬਰਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ ਕਿ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਜਿਵੇਂ ਕਿ SapphireStealer ਨੂੰ ਕਾਰਪੋਰੇਟ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਸਮੇਤ, ਮਹੱਤਵਪੂਰਨ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਗਲਤ-ਪ੍ਰਾਪਤ ਪ੍ਰਮਾਣ-ਪੱਤਰ ਅਕਸਰ ਦੂਜੇ ਬਦ-ਦਿਮਾਗ ਅਦਾਕਾਰਾਂ ਨੂੰ ਵੇਚੇ ਜਾਂਦੇ ਹਨ ਜੋ ਜਾਸੂਸੀ ਤੋਂ ਲੈ ਕੇ ਰੈਨਸਮਵੇਅਰ ਅਤੇ ਜਬਰੀ ਵਸੂਲੀ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਤੱਕ, ਹੋਰ ਹਮਲੇ ਕਰਨ ਲਈ ਉਹਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।
ਇਸ ਕਿਸਮ ਦਾ ਮਾਲਵੇਅਰ ਨਾ ਸਿਰਫ਼ ਸਾਈਬਰ ਕ੍ਰਾਈਮ-ਏ-ਏ-ਸਰਵਿਸ (CaaS) ਮਾਡਲ ਦੀ ਤਰੱਕੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਸਗੋਂ ਇਹ ਹੋਰ ਧੋਖਾਧੜੀ-ਸਬੰਧਤ ਅਦਾਕਾਰਾਂ ਨੂੰ ransomware ਵੰਡਣ, ਡਾਟਾ ਚੋਰੀ ਕਰਨ, ਅਤੇ ਰੁਝੇਵਿਆਂ ਦੀ ਸਹੂਲਤ ਦੇ ਕੇ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਤੋਂ ਲਾਭ ਲੈਣ ਦੇ ਮੌਕੇ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਕਈ ਹੋਰ ਨਾਪਾਕ ਸਾਈਬਰ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ।
SapphireStealer ਸਮਝੌਤਾ ਕੀਤੇ ਯੰਤਰਾਂ ਤੋਂ ਕਈ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਹਾਸਲ ਕਰਦਾ ਹੈ
SapphireStealer, ਇੱਕ .NET-ਅਧਾਰਿਤ ਜਾਣਕਾਰੀ-ਇਕੱਤਰ ਕਰਨ ਵਾਲਾ ਮਾਲਵੇਅਰ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਇੱਕ ਸਿੱਧਾ ਪਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਵਿਸ਼ੇਸ਼ਤਾ ਰੱਖਦਾ ਹੈ। ਇਸ ਦੀਆਂ ਯੋਗਤਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
-
- ਹੋਸਟ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ।
-
- ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕੀਤੇ ਜਾ ਰਹੇ ਹਨ।
-
- ਕੈਸ਼ ਕੀਤੇ ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।
-
- ਪੂਰਵ ਪਰਿਭਾਸ਼ਿਤ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੇ ਅਧਾਰ ਤੇ ਲਾਗ ਵਾਲੇ ਸਿਸਟਮ ਤੇ ਖਾਸ ਫਾਈਲਾਂ ਦੀ ਪਛਾਣ ਕਰਨਾ ਅਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ।
ਇਸ ਦੇ ਸ਼ੁਰੂਆਤੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ, ਮਾਲਵੇਅਰ ਸਿਸਟਮ 'ਤੇ ਕਿਸੇ ਵੀ ਸਰਗਰਮ ਬ੍ਰਾਊਜ਼ਰ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਮੌਜੂਦਗੀ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਇਹ ਹੇਠਾਂ ਦਿੱਤੇ ਪ੍ਰਕਿਰਿਆ ਨਾਮਾਂ ਨਾਲ ਮੈਚਾਂ ਲਈ ਵਰਤਮਾਨ ਵਿੱਚ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਸੂਚੀ ਨੂੰ ਸਕੈਨ ਕਰਦਾ ਹੈ: chrome, yandex, msedge ਅਤੇ Opera। ਜੇਕਰ ਕੋਈ ਮੇਲ ਖਾਂਦੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਮਿਲਦੀਆਂ ਹਨ, ਤਾਂ ਮਾਲਵੇਅਰ ਉਹਨਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ Process.Kill() ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਕ੍ਰੋਮ, ਓਪੇਰਾ, ਯਾਂਡੈਕਸ, ਬ੍ਰੇਵ ਬ੍ਰਾਊਜ਼ਰ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਜ, ਐਟਮ ਬ੍ਰਾਊਜ਼ਰ ਅਤੇ ਹੋਰ ਸਮੇਤ ਲਗਭਗ 15 ਵੱਖ-ਵੱਖ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਨਾਲ ਜੁੜੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਡਾਟਾਬੇਸ ਦੀ ਮੌਜੂਦਗੀ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਫਾਈਲ ਮਾਰਗਾਂ ਦੀ ਹਾਰਡ-ਕੋਡਿਡ ਸੂਚੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਬਾਅਦ, SapphireStealer ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੋਂ ਇੱਕ ਸਕ੍ਰੀਨਸ਼ੌਟ ਕੈਪਚਰ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, ਇਸਨੂੰ 'Screenshot.png' ਫਾਈਲ ਨਾਮ ਦੇ ਤਹਿਤ ਉਸੇ ਕਾਰਜਕਾਰੀ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕਰਦਾ ਹੈ। ਇਸਦੇ ਡੇਟਾ ਇਕੱਤਰ ਕਰਨ ਦੇ ਯਤਨਾਂ ਨੂੰ ਵਧਾਉਣ ਲਈ, ਮਾਲਵੇਅਰ ਇੱਕ ਫਾਈਲ ਗ੍ਰੈਬਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਪੀੜਤ ਦੇ ਡੈਸਕਟੌਪ ਫੋਲਡਰ ਵਿੱਚ ਫਾਈਲਾਂ ਨੂੰ ਲੱਭਣਾ ਹੈ ਜੋ ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੀ ਇੱਕ ਪੂਰਵ-ਪ੍ਰਭਾਸ਼ਿਤ ਸੂਚੀ ਨਾਲ ਮੇਲ ਖਾਂਦੀਆਂ ਹਨ।
ਅੰਤ ਵਿੱਚ, ਚੋਰੀ ਕੀਤਾ ਡੇਟਾ ਹਮਲਾਵਰ ਨੂੰ ਸਧਾਰਨ ਮੇਲ ਟ੍ਰਾਂਸਫਰ ਪ੍ਰੋਟੋਕੋਲ (SMTP) ਦੁਆਰਾ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਲੋੜੀਂਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਸੁਨੇਹਾ ਲਿਖਣ ਅਤੇ ਭੇਜਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਕੋਡ ਦੇ ਅੰਦਰ ਨਿਰਦਿਸ਼ਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
SapphireStealer ਰੂਪਾਂ ਨੂੰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਸਰਗਰਮੀ ਨਾਲ ਵਿਕਸਿਤ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ
SapphireStealer ਕਈ ਹੋਰ ਡਾਟਾ-ਇਕੱਠਾ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਤਣਾਅ ਵਰਗਾ ਹੈ ਜੋ ਡਾਰਕ ਵੈੱਬ 'ਤੇ ਤੇਜ਼ੀ ਨਾਲ ਪ੍ਰਚਲਿਤ ਹੋ ਗਏ ਹਨ। ਹਾਲਾਂਕਿ, ਜੋ ਗੱਲ ਇਸ ਨੂੰ ਵੱਖਰਾ ਕਰਦੀ ਹੈ ਉਹ ਤੱਥ ਇਹ ਹੈ ਕਿ ਦਸੰਬਰ 2022 ਦੇ ਅਖੀਰ ਵਿੱਚ ਇਸਦਾ ਸਰੋਤ ਕੋਡ ਖੁੱਲੇ ਤੌਰ 'ਤੇ ਮੁਫਤ ਵਿੱਚ ਜਾਰੀ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਨੇ ਧੋਖਾਧੜੀ ਨਾਲ ਸਬੰਧਤ ਅਦਾਕਾਰਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਨਾਲ ਪ੍ਰਯੋਗ ਕਰਨ ਲਈ ਸ਼ਕਤੀ ਦਿੱਤੀ ਹੈ, ਜਿਸ ਨਾਲ ਇਸਦਾ ਪਤਾ ਲਗਾਉਣਾ ਕਾਫ਼ੀ ਚੁਣੌਤੀਪੂਰਨ ਹੈ। ਨਤੀਜੇ ਵਜੋਂ, ਉਹਨਾਂ ਨੇ ਅਨੁਕੂਲਿਤ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਵਿਧੀਆਂ ਪੇਸ਼ ਕੀਤੀਆਂ ਹਨ, ਜਿਵੇਂ ਕਿ ਡਿਸਕਾਰਡ ਵੈਬਹੁੱਕ ਜਾਂ ਟੈਲੀਗ੍ਰਾਮ API ਦਾ ਲਾਭ ਉਠਾਉਣਾ।
ਇਸ ਖਤਰੇ ਦੀਆਂ ਕਈ ਭਿੰਨਤਾਵਾਂ ਪਹਿਲਾਂ ਹੀ ਜੰਗਲੀ ਵਿੱਚ ਸਾਹਮਣੇ ਆ ਚੁੱਕੀਆਂ ਹਨ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਸਮੇਂ ਦੇ ਨਾਲ ਆਪਣੀ ਕੁਸ਼ਲਤਾ ਅਤੇ ਪ੍ਰਭਾਵ ਨੂੰ ਲਗਾਤਾਰ ਸੁਧਾਰਦੇ ਰਹਿੰਦੇ ਹਨ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਲੇਖਕ ਨੇ ਇੱਕ .NET ਮਾਲਵੇਅਰ ਡਾਉਨਲੋਡਰ, ਕੋਡਨੇਮ FUD-ਲੋਡਰ ਨੂੰ ਜਨਤਕ ਕੀਤਾ ਹੈ, ਜੋ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਰਵਰਾਂ ਤੋਂ ਵਾਧੂ ਬਾਈਨਰੀ ਪੇਲੋਡਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇਸ ਡਾਉਨਲੋਡਰ ਨੂੰ ਪਹਿਲਾਂ ਹੀ ਕਾਰਵਾਈ ਕਰਦਿਆਂ ਦੇਖਿਆ ਜਾ ਚੁੱਕਾ ਹੈ, ਜੋ ਕਿ DCRat, njRAT , DarkComet ਅਤੇ Agent Tesla ਵਰਗੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਧਮਕੀਆਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
