SambaSpy pahavara
Äsja avastatud pahavara, nimega SambaSpy, sihib spetsiaalselt Itaalia kasutajaid andmepüügikampaania kaudu, mida juhib kahtlustatav portugali keelt kõnelev Brasiiliast pärit ohutegija. Erinevalt enamikust ohus osalejatest, kelle eesmärk on kasumi maksimeerimiseks tavaliselt lai vaatajaskond, näib see rühm keskenduvat ainult Itaaliale. Võimalik, et nad kasutavad seda fokusseeritud lähenemisviisi proovisõiduna enne oma tegevuse laiendamist teistele piirkondadele.
Sisukord
SambaSpy rünnakud algavad andmepüügisõnumitega
Rünnak algab andmepüügimeiliga, mis edastab kas HTML-manuse või nakatumisprotsessi käivitava manustatud lingi. Kui HTML-manus avatakse, kuvatakse ZIP-arhiiv koos allalaadija või tilgutiga, mis juurutab ja käivitab multifunktsionaalse RAT-i kasuliku koormuse.
Allalaadija hangib pahavara kaugserverist, tilgutaja aga ekstraktib kasuliku koormuse otse arhiivist, mitte välisest allikast.
Teine nakkusahel, mis hõlmab petturlikku lüli, on keerukam. Kui soovimatu sihtmärk klõpsab, suunab see kasutaja FattureInCloudis hostitud seaduslikule arvele, lisades pettusekihi.
Alternatiivne stsenaarium SambaSpy ohu edastamiseks
Teise stsenaariumi korral suunab samal URL-il klõpsamine ohvri ohustatud veebiserverisse, mis kuvab brasiilia portugalikeelseid kommentaare sisaldava JavaScripti koodiga HTML-lehe.
See leht suunab kasutajad ümber rikutud OneDrive'i lingile, kuid ainult siis, kui nad kasutavad Edge'i, Firefoxi või Chrome'i, mille keeleks on seatud itaalia keel. Kui need tingimused ei ole täidetud, jäävad kasutajad samale lehele. Neile, kes läbivad kontrolli, esitatakse Microsoft OneDrive'is hostitud PDF-dokument, mis juhendab neid dokumendi vaatamiseks hüperlingil klõpsama. See viib nad MediaFire'is petturliku JAR-failini, mis sisaldab kas allalaadijat või tilgutit, nagu eelmistel juhtudel.
SambaSpy on varustatud mitmekülgsete ähvardavate võimalustega
SambaSpy on Javas välja töötatud mitmekülgne kaugjuurdepääsu troojalane (RAT), mis toimib nagu Šveitsi armee nuga küberkurjategijate jaoks. See pakub laia valikut võimalusi, sealhulgas failisüsteemi ja protsesside haldamine, kaugtöölaua juhtimine, failide üles-/allalaadimine, juurdepääs veebikaamerale, klahvilogimine, lõikelaua jälgimine, ekraanipiltide jäädvustamine ja kesta kaugjuurdepääs.
Pahavara võib käivitamise ajal laadida ka täiendavaid pistikprogramme, käivitades varem alla laaditud faile, võimaldades tal vajaduse korral oma funktsioone täiustada. Lisaks on see loodud mandaatide kogumiseks populaarsetest veebibrauseritest, nagu Chrome, Edge, Opera, Brave, Iridium ja Vivaldi.
Infrastruktuuri vihjed näitavad, et SambaSpy taga olev ohustaja võib laiendada tegevust Brasiiliasse ja Hispaaniasse. Mitmed ühendused Brasiiliaga, nagu keelejäljed koodis ja Brasiilia kasutajaid sihivad domeenid, viitavad Brasiilia päritolule. See sobib laiema suundumusega, kus Ladina-Ameerika ründajad sihivad sageli keeleliselt sarnase turuga Euroopa riike, nagu Itaalia, Hispaania ja Portugal.
