Rocinante மொபைல் மால்வேர்
புதிய தீம்பொருள் பிரச்சாரம் பிரேசிலில் மொபைல் பயனர்களை குறிவைத்து, ரோசினான்ட் எனப்படும் ஆண்ட்ராய்டு பேங்கிங் ட்ரோஜனைப் பயன்படுத்துகிறது. இந்த தீம்பொருள் அணுகல் சேவையைப் பயன்படுத்தி விசை அழுத்தங்களை பதிவு செய்யலாம் மற்றும் பல்வேறு வங்கிகளைப் பிரதிபலிக்கும் ஃபிஷிங் திரைகள் மூலம் பாதிக்கப்பட்டவர்களிடமிருந்து தனிப்பட்ட அடையாளம் காணக்கூடிய தகவலை (PII) அறுவடை செய்யலாம். கூடுதலாக, இது திருடப்பட்ட தரவைப் பயன்படுத்தி சாதனத்தைக் கைப்பற்றுகிறது, பாதிக்கப்பட்ட சாதனத்திற்கான முழு தொலைநிலை அணுகலைப் பெற அணுகல் சேவை சலுகைகளைப் பயன்படுத்துகிறது.
பொருளடக்கம்
சட்டபூர்வமான பயன்பாடுகளாக மாறுவேடமிடுதல்
பிராடெஸ்கோ பிரைம் மற்றும் கொரியோஸ் செல்லுலார் போன்ற போலி பயன்பாடுகளுடன், இட்டா ஷாப் மற்றும் சாண்டாண்டர் உள்ளிட்ட பல முக்கிய நிதி நிறுவனங்களை மால்வேர் குறிவைக்கிறது:
- லைவ்லோ பொன்டோஸ் (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- பிராடெஸ்கோ பிரைன் (com.resgatelivelo.cash)
- மாடுலோ டி செகுரான்சா (com.viberotion1414.app)
தீம்பொருளின் மூலக் குறியீட்டின் பகுப்பாய்வு, ஆபரேட்டர்கள் உள்நாட்டில் ரோசினாண்டேவை பெகாசஸ் அல்லது பெகாசஸ்ஸ்பை என்று குறிப்பிடுகின்றனர். இருப்பினும், வணிகக் கண்காணிப்பு விற்பனையாளர் NSO குழுமத்தால் உருவாக்கப்பட்ட குறுக்கு-தளம் ஸ்பைவேருடன் இந்த பெகாசஸுக்கு எந்தத் தொடர்பும் இல்லை என்பதை தெளிவுபடுத்துவது அவசியம்.
பிற மால்வேர் குடும்பங்களுக்கான இணைப்புகள்
சைலண்ட் புஷின் சமீபத்திய பகுப்பாய்வின்படி, ERMAC , BlackRock , Hook மற்றும் Loot போன்ற மால்வேர் வகைகளை உருவாக்கிய DukeEugene என அழைக்கப்படும் அச்சுறுத்தல் நடிகருக்கு Pegasus காரணம் என்று கூறப்படுகிறது.
ERMAC இன் முந்தைய பதிப்புகளால் தாக்கப்பட்ட கூறுகளை Rocinante உள்ளடக்கியதாக ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். ERMAC இன் மூலக் குறியீட்டின் 2023 கசிவு இந்த வளர்ச்சிக்கு பங்களித்திருக்கலாம். ஒரு அசல் மால்வேர் குடும்பம் கசிந்த குறியீட்டின் சில பகுதிகளை தங்களுடைய சொந்தத்தில் இணைத்திருப்பது இதுவே முதல் நிகழ்வு. Rocinante மற்றும் ERMAC ஆகியவை ஒரே ஆரம்ப திட்டத்தின் தனித்தனி கிளைகளை பிரதிநிதித்துவப்படுத்துவதும் சாத்தியமாகும்.
Rocinante Banking Trojan முக்கிய தரவுகளை குறிவைக்கிறது
Rocinante முதன்மையாக போலியான துளிசொட்டி பயன்பாடுகளை நிறுவி பயனர்களை ஏமாற்ற வடிவமைக்கப்பட்ட ஃபிஷிங் இணையதளங்கள் மூலம் பரவுகிறது. நிறுவப்பட்டதும், பாதிக்கப்பட்ட சாதனத்தில் அனைத்து செயல்பாடுகளையும் கண்காணிக்கவும், SMS செய்திகளை இடைமறிக்கவும், ஃபிஷிங் உள்நுழைவு பக்கங்களைக் காட்டவும் அணுகல்தன்மை சேவை சலுகைகளை இந்தப் பயன்பாடுகள் கோருகின்றன.
தொடுதல் மற்றும் ஸ்வைப் நிகழ்வுகளை உருவகப்படுத்துதல் உள்ளிட்ட தொலைநிலை வழிமுறைகளைப் பெற, மால்வேர் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் இணைக்கிறது. சேகரிக்கப்பட்ட தனிப்பட்ட தகவல் டெலிகிராம் போட்க்கு அனுப்பப்படுகிறது, இது இலக்கு வங்கிகளைப் போல ஆள்மாறாட்டம் செய்யும் போலி உள்நுழைவு பக்கங்கள் மூலம் பெறப்பட்ட பயனுள்ள தரவைப் பிரித்தெடுக்கிறது. இந்தத் தகவல் பின்னர் வடிவமைக்கப்பட்டு, குற்றவாளிகள் அணுகக்கூடிய அரட்டையில் பகிரப்படும்.
பயன்படுத்தப்படும் போலி உள்நுழைவுப் பக்கத்தைப் பொறுத்து விவரங்கள் மாறுபடும் மற்றும் மாடல் மற்றும் ஃபோன் எண், CPF எண், கடவுச்சொல் அல்லது கணக்கு எண் போன்ற சாதனத் தகவலை உள்ளடக்கியது.
அச்சுறுத்தல் நடிகர்கள் இதே போன்ற தொற்று வெக்டர்களை பயன்படுத்திக் கொள்கின்றனர்
Secureserver.net டொமைனைப் பயன்படுத்தி ஸ்பானிஷ் மற்றும் போர்த்துகீசியம் பேசும் பகுதிகளை குறிவைக்கும் புதிய வங்கி ட்ரோஜன் மால்வேர் பிரச்சாரத்தை சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் கண்டுபிடித்ததுடன், Rocinante Banking Trojan மேம்பாடு ஒத்துப்போகிறது.
பல கட்ட தாக்குதல் அச்சுறுத்தும் URLகளுடன் தொடங்குகிறது, இது பயனர்களை ஒரு தெளிவற்ற .hta கோப்பைக் கொண்ட காப்பகத்திற்கு வழிநடத்துகிறது. இந்த கோப்பு JavaScript பேலோடைத் தூண்டுகிறது, இது இறுதி AutoIT பேலோடைப் பதிவிறக்கும் முன் பல்வேறு AntiVM மற்றும் AntiAV சோதனைகளை நடத்துகிறது. ஆட்டோஐடி பேலோட் செயல்முறை ஊசி மூலம் செயல்படுத்தப்படுகிறது, பாதிக்கப்பட்டவரின் அமைப்பிலிருந்து வங்கித் தகவல் மற்றும் சான்றுகளை அறுவடை செய்வதை நோக்கமாகக் கொண்டது மற்றும் ஒரு கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திற்கு தரவை வெளியேற்றுகிறது.
