Programari maliciós SambaSpy
Un programari maliciós recentment descobert, anomenat SambaSpy, s'adreça específicament als usuaris a Itàlia mitjançant una campanya de pesca liderada per un presumpte actor d'amenaces de parla portuguesa del Brasil. A diferència de la majoria d'actors d'amenaça, que solen tenir com a objectiu un públic ampli per maximitzar els guanys, sembla que aquest grup es concentra únicament a Itàlia. És possible que utilitzin aquest enfocament centrat com a prova abans d'estendre les seves activitats a altres regions.
Taula de continguts
Els atacs de SambaSpy comencen amb missatges de pesca
L'atac comença amb un correu electrònic de pesca que lliura un fitxer adjunt HTML o un enllaç incrustat que desencadena el procés d'infecció. Si s'obre el fitxer adjunt HTML, revela un arxiu ZIP amb un descàrrega o un dropper, que desplega i executa la càrrega útil multifuncional RAT.
El descarregador recupera el programari maliciós d'un servidor remot, mentre que el comptador extreu la càrrega útil directament de l'arxiu en lloc d'una font externa.
Una segona cadena d'infecció que implica l'enllaç fraudulent és més sofisticada. Si es fa clic per un objectiu no desitjat, redirigeix l'usuari a una factura legítima allotjada a FattureInCloud, afegint una capa d'engany.
Escenari alternatiu per al lliurament de l’amenaça SambaSpy
En un altre cas, fer clic al mateix URL dirigeix la víctima a un servidor web compromès que mostra una pàgina HTML amb codi JavaScript que conté comentaris en portuguès brasiler.
Aquesta pàgina redirigeix els usuaris a un enllaç de OneDrive danyat, però només si utilitzen Edge, Firefox o Chrome amb el seu idioma configurat en italià. Si no es compleixen aquestes condicions, els usuaris romanen a la mateixa pàgina. Per a aquells que superin les comprovacions, es presenta un document PDF allotjat a Microsoft OneDrive, que els indica que facin clic en un hiperenllaç per veure el document. Això els porta a un fitxer JAR fraudulent a MediaFire, que conté el descarregador o el dropper, com en els casos anteriors.
SambaSpy està equipat amb un conjunt divers de capacitats amenaçadores
SambaSpy és un troià d'accés remot (RAT) versàtil desenvolupat a Java, que funciona com una navalla suïssa per als cibercriminals. Ofereix una àmplia gamma de capacitats, com ara la gestió del sistema de fitxers i de processos, control remot d'escriptori, càrrega/descàrrega de fitxers, accés a càmera web, registre de tecles, seguiment del porta-retalls, captura de captures de pantalla i accés remot a l'intèrpret d'ordres.
El programari maliciós també pot carregar complements addicionals en temps d'execució mitjançant l'execució dels fitxers que s'ha baixat anteriorment, cosa que li permet millorar les seves funcions segons sigui necessari. A més, està dissenyat per recollir credencials de navegadors web populars com Chrome, Edge, Opera, Brave, Iridium i Vivaldi.
Les pistes d'infraestructura indiquen que l'actor d'amenaça darrere de SambaSpy pot estar ampliant les operacions al Brasil i Espanya. Diverses connexions amb el Brasil, com ara rastres d'idiomes al codi i dominis orientats als usuaris brasilers, suggereixen un origen brasiler. Això s'ajusta a una tendència més àmplia on els atacants llatinoamericans sovint s'apunten a països europeus amb mercats lingüísticament similars, com ara Itàlia, Espanya i Portugal.
