SambaSpy Malware
Nově objevený malware, nazvaný SambaSpy, se konkrétně zaměřuje na uživatele v Itálii prostřednictvím phishingové kampaně vedené podezřelým portugalsky mluvícím aktérem hrozby z Brazílie. Na rozdíl od většiny aktérů hrozeb, kteří se obvykle zaměřují na široké publikum, aby maximalizovali zisky, se tato skupina zdá, že se soustředí pouze na Itálii. Je možné, že tento cílený přístup používají jako zkušební provoz před rozšířením svých aktivit do dalších regionů.
Obsah
SambaSpy útoky začínají phishingovými zprávami
Útok začíná phishingovým e-mailem, který doručí buď přílohu HTML, nebo vložený odkaz, který spustí proces infekce. Pokud je příloha HTML otevřena, odhalí ZIP archiv s downloaderem nebo dropperem, který nasadí a spustí multifunkční RAT užitečné zatížení.
Downloader načte malware ze vzdáleného serveru, zatímco dropper extrahuje obsah přímo z archivu, nikoli z externího zdroje.
Druhý infekční řetězec zahrnující podvodný odkaz je sofistikovanější. Pokud na něj klikne nezamýšlený cíl, přesměruje uživatele na legitimní fakturu hostovanou na FattureInCloud a přidá vrstvu podvodu.
Alternativní scénář pro doručení hrozby SambaSpy
V jiném scénáři kliknutí na stejnou adresu URL přesměruje oběť na napadený webový server, který zobrazí stránku HTML s kódem JavaScript obsahující komentáře v brazilské portugalštině.
Tato stránka přesměrovává uživatele na poškozený odkaz na OneDrive, ale pouze v případě, že používají Edge, Firefox nebo Chrome s jazykem nastaveným na italštinu. Pokud tyto podmínky nejsou splněny, uživatelé zůstávají na stejné stránce. Těm, kteří projdou kontrolami, se zobrazí dokument PDF hostovaný na Microsoft OneDrive s pokynem, aby klikli na hypertextový odkaz a dokument si zobrazili. To je vede k podvodnému souboru JAR na MediaFire, který obsahuje buď downloader nebo dropper, jako v předchozích případech.
SambaSpy je vybaven rozmanitou sadou hrozivých schopností
SambaSpy je všestranný trojan pro vzdálený přístup (RAT) vyvinutý v Javě, který funguje jako švýcarský armádní nůž pro kyberzločince. Nabízí širokou škálu možností, včetně správy systému souborů a procesů, ovládání vzdálené plochy, nahrávání/stahování souborů, přístupu k webové kameře, keyloggingu, sledování schránky, snímání obrazovky a vzdáleného přístupu k shellu.
Malware může také za běhu načítat další pluginy spuštěním dříve stažených souborů, což mu umožňuje podle potřeby vylepšovat jeho funkce. Navíc je navržen tak, aby sbíral přihlašovací údaje z oblíbených webových prohlížečů, jako je Chrome, Edge, Opera, Brave, Iridium a Vivaldi.
Infrastrukturní stopy naznačují, že hrozba, která stojí za SambaSpy, může rozšířit své operace do Brazílie a Španělska. Několik spojení s Brazílií, jako jsou jazykové stopy v kódu a domény cílené na brazilské uživatele, naznačuje brazilský původ. To odpovídá širšímu trendu, kdy útočníci z Latinské Ameriky často cílí na evropské země s jazykově podobnými trhy, jako je Itálie, Španělsko a Portugalsko.
