SambaSpy Malware
En nyopdaget malware, kaldet SambaSpy, er specifikt målrettet mod brugere i Italien gennem en phishing-kampagne ledet af en formodet portugisisktalende trusselsaktør fra Brasilien. I modsætning til de fleste trusselsaktører, der typisk sigter efter et bredt publikum for at maksimere gevinsterne, ser denne gruppe ud til at koncentrere sig udelukkende om Italien. Det er muligt, at de bruger denne fokuserede tilgang som en testkørsel, før de udvider deres aktiviteter til andre regioner.
Indholdsfortegnelse
SambaSpy-angreb begynder med phishing-beskeder
Angrebet starter med en phishing-e-mail, der enten leverer en HTML-vedhæftet fil eller et indlejret link, der udløser infektionsprocessen. Hvis HTML-vedhæftningen åbnes, afslører den et ZIP-arkiv med en downloader eller dropper, som implementerer og udfører den multifunktionelle RAT-nyttelast.
Downloaderen henter malwaren fra en ekstern server, mens dropperen udtrækker nyttelasten direkte fra arkivet i stedet for en ekstern kilde.
En anden infektionskæde, der involverer det svigagtige led, er mere sofistikeret. Hvis det klikkes af et utilsigtet mål, omdirigerer det brugeren til en legitim faktura, der er hostet på FattureInCloud, hvilket tilføjer et lag af bedrag.
Alternativt scenarie for levering af SambaSpy-truslen
I et andet scenarie vil et klik på den samme URL dirigere offeret til en kompromitteret webserver, der viser en HTML-side med JavaScript-kode, der indeholder kommentarer på brasiliansk portugisisk.
Denne side omdirigerer brugere til et beskadiget OneDrive-link, men kun hvis de bruger Edge, Firefox eller Chrome med deres sprog indstillet til italiensk. Hvis disse betingelser ikke er opfyldt, forbliver brugerne på samme side. For dem, der består kontrollen, præsenteres et PDF-dokument, der er hostet på Microsoft OneDrive, som instruerer dem om at klikke på et hyperlink for at se dokumentet. Dette fører dem til en svigagtig JAR-fil på MediaFire, der indeholder enten downloaderen eller dropperen, som i de tidligere tilfælde.
SambaSpy er udstyret med et forskelligt sæt truende egenskaber
SambaSpy er en alsidig Remote Access Trojan (RAT) udviklet i Java, der fungerer som en schweizisk hærkniv til cyberkriminelle. Det tilbyder en bred vifte af muligheder, herunder filsystem- og processtyring, fjernbetjening af skrivebordet, upload/download af filer, webcam-adgang, keylogging, clipboard-sporing, screenshot-optagelse og ekstern shell-adgang.
Malwaren kan også indlæse yderligere plugins under kørsel ved at udføre filer, den tidligere har downloadet, så den kan forbedre sine funktioner efter behov. Desuden er den designet til at høste legitimationsoplysninger fra populære webbrowsere som Chrome, Edge, Opera, Brave, Iridium og Vivaldi.
Infrastruktur-spor indikerer, at trusselsaktøren bag SambaSpy muligvis udvider operationer til Brasilien og Spanien. Adskillige forbindelser til Brasilien, såsom sprogspor i koden og domæner rettet mod brasilianske brugere, tyder på en brasiliansk oprindelse. Dette passer til en bredere tendens, hvor latinamerikanske angribere ofte målretter mod europæiske lande med sprogligt lignende markeder, såsom Italien, Spanien og Portugal.
