برنامج SambaSpy الخبيث
تستهدف البرامج الضارة التي تم اكتشافها حديثًا، والتي يطلق عليها اسم SambaSpy، المستخدمين في إيطاليا على وجه التحديد من خلال حملة تصيد احتيالي يقودها مجرم تهديد يشتبه في أنه يتحدث البرتغالية من البرازيل. وعلى عكس معظم المجرمين الذين يستهدفون عادةً جمهورًا واسعًا لتحقيق أقصى قدر من المكاسب، يبدو أن هذه المجموعة تركز فقط على إيطاليا. ومن المحتمل أنهم يستخدمون هذا النهج المركّز كاختبار تجريبي قبل توسيع أنشطتهم إلى مناطق أخرى.
جدول المحتويات
تبدأ هجمات SambaSpy برسائل التصيد الاحتيالي
يبدأ الهجوم برسالة بريد إلكتروني احتيالية ترسل إما مرفقًا بتنسيق HTML أو رابطًا مضمنًا يؤدي إلى تشغيل عملية العدوى. إذا تم فتح المرفق بتنسيق HTML، فإنه يكشف عن أرشيف ZIP مع برنامج تنزيل أو برنامج إسقاط، والذي ينشر وينفذ حمولة RAT متعددة الوظائف.
يقوم برنامج التنزيل باسترداد البرامج الضارة من خادم بعيد، بينما يقوم برنامج القطارة باستخراج الحمولة مباشرة من الأرشيف بدلاً من مصدر خارجي.
هناك سلسلة عدوى ثانية تتضمن الرابط الاحتيالي وهي أكثر تعقيدًا. فإذا تم النقر عليه بواسطة هدف غير مقصود، فإنه يعيد توجيه المستخدم إلى فاتورة شرعية مستضافة على FattureInCloud، مما يضيف طبقة من الخداع.
السيناريو البديل لتوصيل تهديد SambaSpy
في سيناريو آخر، يؤدي النقر فوق نفس عنوان URL إلى توجيه الضحية إلى خادم ويب مخترق يعرض صفحة HTML تحتوي على كود JavaScript يحتوي على تعليقات باللغة البرتغالية البرازيلية.
تعيد هذه الصفحة توجيه المستخدمين إلى رابط OneDrive تالف، ولكن فقط إذا كانوا يستخدمون Edge أو Firefox أو Chrome مع ضبط اللغة على الإيطالية. إذا لم يتم استيفاء هذه الشروط، يظل المستخدمون على نفس الصفحة. بالنسبة لأولئك الذين يجتازون الفحوصات، يتم تقديم مستند PDF مستضاف على Microsoft OneDrive، مما يوجههم إلى النقر فوق ارتباط تشعبي لعرض المستند. يؤدي هذا بهم إلى ملف JAR احتيالي على MediaFire، يحتوي إما على أداة التنزيل أو أداة التنزيل، كما في الحالات السابقة.
تم تجهيز SambaSpy بمجموعة متنوعة من القدرات المهددة
SambaSpy هو برنامج Trojan للوصول عن بعد متعدد الاستخدامات تم تطويره بلغة Java، ويعمل مثل سكين الجيش السويسري لمجرمي الإنترنت. وهو يوفر مجموعة واسعة من الإمكانات، بما في ذلك نظام الملفات وإدارة العمليات، والتحكم عن بعد في سطح المكتب، وتحميل/تنزيل الملفات، والوصول إلى كاميرا الويب، وتسجيل لوحة المفاتيح، وتتبع الحافظة، والتقاط لقطات الشاشة، والوصول عن بعد إلى shell.
كما يمكن للبرامج الضارة تحميل مكونات إضافية أثناء التشغيل من خلال تشغيل الملفات التي تم تنزيلها مسبقًا، مما يمكنها من تحسين وظائفها حسب الحاجة. علاوة على ذلك، تم تصميمها لجمع بيانات الاعتماد من متصفحات الويب الشهيرة مثل Chrome وEdge وOpera وBrave وIridium وVivaldi.
تشير أدلة البنية الأساسية إلى أن الجهة المسؤولة عن التهديد وراء SambaSpy قد تعمل على توسيع عملياتها إلى البرازيل وإسبانيا. وتشير العديد من الروابط مع البرازيل، مثل آثار اللغة في الكود والمجالات التي تستهدف المستخدمين البرازيليين، إلى أصل برازيلي. وهذا يتناسب مع اتجاه أوسع نطاقًا حيث يستهدف المهاجمون من أمريكا اللاتينية غالبًا الدول الأوروبية ذات الأسواق المتشابهة لغويًا، مثل إيطاليا وإسبانيا والبرتغال.
