بدافزار SambaSpy

یک بدافزار تازه کشف شده به نام SambaSpy، به طور خاص کاربران ایتالیا را از طریق یک کمپین فیشینگ به رهبری یک بازیگر تهدیدکننده مظنون به زبان پرتغالی از برزیل هدف قرار می دهد. برخلاف اکثر بازیگران تهدید، که معمولاً هدفشان مخاطبان گسترده برای به حداکثر رساندن سود است، به نظر می‌رسد این گروه فقط روی ایتالیا تمرکز کرده است. این امکان وجود دارد که آنها از این رویکرد متمرکز به عنوان یک آزمایش آزمایشی قبل از گسترش فعالیت های خود به مناطق دیگر استفاده کنند.

حملات SambaSpy با پیام های فیشینگ آغاز می شود

حمله با یک ایمیل فیشینگ شروع می شود که یک پیوست HTML یا یک پیوند تعبیه شده را ارائه می دهد که فرآیند عفونت را آغاز می کند. اگر پیوست HTML باز شود، یک بایگانی ZIP را با یک بارگیری یا قطره چکان نشان می دهد که بارگیری چند منظوره RAT را مستقر و اجرا می کند.

دانلود کننده بدافزار را از یک سرور راه دور بازیابی می کند، در حالی که قطره چکان محموله را مستقیماً از بایگانی به جای منبع خارجی استخراج می کند.

زنجیره عفونت دوم شامل پیوند متقلبانه پیچیده تر است. اگر توسط یک هدف ناخواسته کلیک شود، کاربر را به یک فاکتور قانونی میزبانی شده در FattureInCloud هدایت می کند و لایه ای از فریب را اضافه می کند.

سناریوی جایگزین برای تحویل تهدید SambaSpy

در سناریویی دیگر، کلیک کردن روی همان URL قربانی را به یک وب سرور در معرض خطر هدایت می کند که صفحه HTML با کد جاوا اسکریپت حاوی نظرات به زبان پرتغالی برزیل را نمایش می دهد.

این صفحه کاربران را به یک پیوند OneDrive خراب هدایت می‌کند، اما فقط در صورتی که از Edge، Firefox یا Chrome با زبان ایتالیایی استفاده می‌کنند. در صورت عدم رعایت این شرایط، کاربران در همان صفحه باقی می مانند. برای کسانی که این بررسی ها را پشت سر می گذارند، یک سند PDF میزبانی شده در Microsoft OneDrive ارائه می شود که به آنها دستور می دهد برای مشاهده سند روی یک لینک کلیک کنند. این آنها را به یک فایل JAR تقلبی در MediaFire هدایت می کند که مانند موارد قبلی شامل دانلود کننده یا قطره چکان است.

SambaSpy به مجموعه متنوعی از قابلیت‌های تهدیدآمیز مجهز شده است

SambaSpy یک تروجان همه کاره دسترسی از راه دور (RAT) است که در جاوا توسعه یافته است و مانند یک چاقوی ارتش سوئیس برای مجرمان سایبری عمل می کند. طیف گسترده ای از قابلیت ها، از جمله سیستم فایل و مدیریت فرآیند، کنترل از راه دور دسکتاپ، آپلود/دانلود فایل، دسترسی به وب کم، صفحه کلید، ردیابی کلیپ بورد، گرفتن اسکرین شات و دسترسی پوسته از راه دور را ارائه می دهد.

این بدافزار همچنین می‌تواند با اجرای فایل‌هایی که قبلاً دانلود کرده است، افزونه‌های اضافی را در زمان اجرا بارگیری کند و به آن امکان می‌دهد تا در صورت نیاز عملکردهای خود را بهبود بخشد. علاوه بر این، برای جمع آوری اعتبار از مرورگرهای وب محبوب مانند Chrome، Edge، Opera، Brave، Iridium و Vivaldi طراحی شده است.

سرنخ‌های زیرساخت نشان می‌دهد که عامل تهدید کننده پشت SambaSpy ممکن است در حال گسترش عملیات به برزیل و اسپانیا باشد. چندین اتصال به برزیل، مانند ردپای زبان در کد و دامنه‌هایی که کاربران برزیلی را هدف قرار می‌دهند، منشا برزیلی را نشان می‌دهند. این با روند گسترده تری مطابقت دارد که در آن مهاجمان آمریکای لاتین اغلب کشورهای اروپایی با بازارهای زبانی مشابه، مانند ایتالیا، اسپانیا و پرتغال را هدف قرار می دهند.