Κακόβουλο λογισμικό SambaSpy
Ένα κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα, με την ονομασία SambaSpy, στοχεύει συγκεκριμένα χρήστες στην Ιταλία μέσω μιας εκστρατείας phishing υπό την ηγεσία ενός φερόμενου πορτογαλόφωνου ηθοποιού απειλών από τη Βραζιλία. Σε αντίθεση με τους περισσότερους παράγοντες απειλών, που συνήθως στοχεύουν σε ένα ευρύ κοινό για να μεγιστοποιήσουν τα κέρδη, αυτή η ομάδα φαίνεται να επικεντρώνεται αποκλειστικά στην Ιταλία. Είναι πιθανό ότι χρησιμοποιούν αυτήν την εστιασμένη προσέγγιση ως δοκιμαστική λειτουργία πριν επεκτείνουν τις δραστηριότητές τους σε άλλες περιοχές.
Πίνακας περιεχομένων
Οι επιθέσεις SambaSpy ξεκινούν με μηνύματα ηλεκτρονικού ψαρέματος
Η επίθεση ξεκινά με ένα email ηλεκτρονικού ψαρέματος που παραδίδει είτε ένα συνημμένο HTML είτε έναν ενσωματωμένο σύνδεσμο που ενεργοποιεί τη διαδικασία μόλυνσης. Εάν ανοίξει το συνημμένο HTML, αποκαλύπτει ένα αρχείο ZIP με πρόγραμμα λήψης ή dropper, το οποίο αναπτύσσει και εκτελεί το πολυλειτουργικό ωφέλιμο φορτίο RAT.
Το πρόγραμμα λήψης ανακτά το κακόβουλο λογισμικό από έναν απομακρυσμένο διακομιστή, ενώ το dropper εξάγει το ωφέλιμο φορτίο απευθείας από το αρχείο και όχι από μια εξωτερική πηγή.
Μια δεύτερη αλυσίδα μόλυνσης που περιλαμβάνει τον δόλιο σύνδεσμο είναι πιο περίπλοκη. Εάν γίνει κλικ από έναν ακούσιο στόχο, ανακατευθύνει τον χρήστη σε ένα νόμιμο τιμολόγιο που φιλοξενείται στο FattureInCloud, προσθέτοντας ένα επίπεδο εξαπάτησης.
Εναλλακτικό σενάριο για την παράδοση της απειλής SambaSpy
Σε ένα άλλο σενάριο, κάνοντας κλικ στην ίδια διεύθυνση URL κατευθύνεται το θύμα σε έναν παραβιασμένο διακομιστή Ιστού που εμφανίζει μια σελίδα HTML με κώδικα JavaScript που περιέχει σχόλια στα Πορτογαλικά Βραζιλίας.
Αυτή η σελίδα ανακατευθύνει τους χρήστες σε έναν κατεστραμμένο σύνδεσμο OneDrive, αλλά μόνο εάν χρησιμοποιούν Edge, Firefox ή Chrome με τη γλώσσα τους να έχει οριστεί στα Ιταλικά. Εάν δεν πληρούνται αυτές οι προϋποθέσεις, οι χρήστες παραμένουν στην ίδια σελίδα. Για όσους περάσουν τους ελέγχους, παρουσιάζεται ένα έγγραφο PDF που φιλοξενείται στο Microsoft OneDrive, το οποίο τους δίνει οδηγίες να κάνουν κλικ σε έναν υπερσύνδεσμο για να προβάλουν το έγγραφο. Αυτό τους οδηγεί σε ένα δόλιο αρχείο JAR στο MediaFire, που περιέχει είτε το πρόγραμμα λήψης είτε το dropper, όπως στις προηγούμενες περιπτώσεις.
Το SambaSpy είναι εξοπλισμένο με μια ποικιλία από απειλητικές δυνατότητες
Το SambaSpy είναι ένα ευέλικτο Trojan απομακρυσμένης πρόσβασης (RAT) που αναπτύχθηκε σε Java, το οποίο λειτουργεί σαν ελβετικό μαχαίρι για τους εγκληματίες του κυβερνοχώρου. Προσφέρει ένα ευρύ φάσμα δυνατοτήτων, συμπεριλαμβανομένης της διαχείρισης συστήματος αρχείων και διαδικασιών, ελέγχου απομακρυσμένης επιφάνειας εργασίας, αποστολής/λήψης αρχείων, πρόσβασης μέσω κάμερας web, καταγραφής πλήκτρων, παρακολούθησης προχείρου, λήψης στιγμιότυπου οθόνης και απομακρυσμένης πρόσβασης φλοιού.
Το κακόβουλο λογισμικό μπορεί επίσης να φορτώσει πρόσθετα πρόσθετα κατά το χρόνο εκτέλεσης εκτελώντας αρχεία που είχε λάβει προηγουμένως, επιτρέποντάς του να βελτιώσει τις λειτουργίες του όπως απαιτείται. Επιπλέον, έχει σχεδιαστεί για να συλλέγει διαπιστευτήρια από δημοφιλή προγράμματα περιήγησης Ιστού όπως τα Chrome, Edge, Opera, Brave, Iridium και Vivaldi.
Οι ενδείξεις υποδομής δείχνουν ότι ο παράγοντας απειλής πίσω από το SambaSpy μπορεί να επεκτείνει τις επιχειρήσεις στη Βραζιλία και την Ισπανία. Αρκετές συνδέσεις με τη Βραζιλία, όπως ίχνη γλώσσας στον κώδικα και τομείς που στοχεύουν Βραζιλιάνους χρήστες, υποδηλώνουν βραζιλιάνικη καταγωγή. Αυτό ταιριάζει σε μια ευρύτερη τάση όπου οι λατινοαμερικανοί επιτιθέμενοι συχνά στοχεύουν ευρωπαϊκές χώρες με γλωσσικά παρόμοιες αγορές, όπως η Ιταλία, η Ισπανία και η Πορτογαλία.
