SambaSpy Malware
Новооткрит зловреден софтуер, наречен SambaSpy, е специално насочен към потребители в Италия чрез фишинг кампания, водена от заподозрян португалоговорящ заплаха от Бразилия. За разлика от повечето заплахи, които обикновено се стремят към широка аудитория, за да увеличат максимално печалбите, тази група изглежда се концентрира единствено върху Италия. Възможно е те да използват този фокусиран подход като тестово изпълнение, преди да разширят дейността си в други региони.
Съдържание
SambaSpy атаките започват с фишинг съобщения
Атаката започва с фишинг имейл, доставящ или HTML прикачен файл, или вградена връзка, която задейства процеса на заразяване. Ако HTML прикаченият файл се отвори, той разкрива ZIP архив с програма за изтегляне или капкомер, която разгръща и изпълнява многофункционалния полезен товар RAT.
Програмата за изтегляне извлича зловреден софтуер от отдалечен сървър, докато капкомерът извлича полезния товар директно от архива, а не от външен източник.
Втората верига на заразяване, включваща измамната връзка, е по-сложна. Ако бъде щракнат от нежелана цел, той пренасочва потребителя към легитимна фактура, хоствана на FattureInCloud, добавяйки слой измама.
Алтернативен сценарий за доставка на заплахата SambaSpy
В друг сценарий щракването върху същия URL адрес насочва жертвата към компрометиран уеб сървър, който показва HTML страница с JavaScript код, съдържащ коментари на бразилски португалски.
Тази страница пренасочва потребителите към повредена връзка на OneDrive, но само ако използват Edge, Firefox или Chrome с език, зададен на италиански. Ако тези условия не са изпълнени, потребителите остават на същата страница. За тези, които преминат проверките, се представя PDF документ, хостван в Microsoft OneDrive, който ги инструктира да щракнат върху хипервръзка, за да видят документа. Това ги отвежда до измамен JAR файл на MediaFire, съдържащ или програмата за изтегляне, или капкомер, както в предишните случаи.
SambaSpy е оборудван с разнообразен набор от заплашителни възможности
SambaSpy е многофункционален троянски кон за отдалечен достъп (RAT), разработен в Java, функциониращ като швейцарски армейски нож за киберпрестъпници. Той предлага широк набор от възможности, включително файлова система и управление на процеси, отдалечен контрол на работния плот, качване/изтегляне на файлове, достъп до уеб камера, записване на клавиатури, проследяване на клипборда, заснемане на екранна снимка и отдалечен достъп до обвивка.
Злонамереният софтуер може също така да зарежда допълнителни добавки по време на изпълнение, като изпълнява файлове, които е изтеглил преди това, което му позволява да подобри функциите си, ако е необходимо. Освен това, той е проектиран да събира идентификационни данни от популярни уеб браузъри като Chrome, Edge, Opera, Brave, Iridium и Vivaldi.
Инфраструктурни улики показват, че заплахата зад SambaSpy може да разширява операциите си в Бразилия и Испания. Няколко връзки с Бразилия, като езикови следи в кода и домейни, насочени към бразилски потребители, предполагат бразилски произход. Това отговаря на по-широка тенденция, при която нападателите от Латинска Америка често се насочват към европейски държави с езиково сходни пазари, като Италия, Испания и Португалия.
