SambaSpy haittaohjelma
Äskettäin löydetty haittaohjelma, nimeltään SambaSpy, on kohdistettu erityisesti Italian käyttäjiin tietokalastelukampanjan kautta, jota johtaa epäilty portugalinkielinen uhkatekijä Brasiliasta. Toisin kuin useimmat uhkatoimijat, jotka yleensä pyrkivät laajaan yleisöön maksimoidakseen voiton, tämä ryhmä näyttää keskittyvän yksinomaan Italiaan. On mahdollista, että he käyttävät tätä kohdennettua lähestymistapaa koeajona ennen kuin ne laajentavat toimintaansa muille alueille.
Sisällysluettelo
SambaSpy-hyökkäykset alkavat tietojenkalasteluviesteillä
Hyökkäys alkaa tietojenkalasteluviestillä, joka toimittaa joko HTML-liitteen tai upotetun linkin, joka käynnistää tartuntaprosessin. Jos HTML-liite avataan, se paljastaa ZIP-arkiston, jossa on latausohjelma tai dropper, joka ottaa käyttöön ja suorittaa monitoimisen RAT-hyötykuorman.
Latausohjelma hakee haittaohjelman etäpalvelimelta, kun taas dropperi poimii hyötykuorman suoraan arkistosta ulkoisen lähteen sijaan.
Toinen tartuntaketju, johon liittyy petollinen linkki, on kehittyneempi. Jos tahaton kohde napsauttaa, se ohjaa käyttäjän FattureInCloudissa isännöityyn lailliseen laskuun, mikä lisää huijaustasoa.
Vaihtoehtoinen skenaario SambaSpy-uhan toimittamiseen
Toisessa skenaariossa saman URL-osoitteen napsauttaminen ohjaa uhrin vaarantuneelle Web-palvelimelle, joka näyttää HTML-sivun JavaScript-koodilla, joka sisältää kommentteja brasilianportugaliksi.
Tämä sivu ohjaa käyttäjät vioittuneeseen OneDrive-linkkiin, mutta vain, jos he käyttävät Edgeä, Firefoxia tai Chromea ja heidän kielensä on italia. Jos nämä ehdot eivät täyty, käyttäjät pysyvät samalla sivulla. Niille, jotka läpäisevät tarkistukset, esitetään Microsoft OneDrivessa isännöity PDF-dokumentti, joka kehottaa heitä napsauttamalla hyperlinkkiä nähdäkseen asiakirjan. Tämä johtaa ne MediaFiren vilpilliseen JAR-tiedostoon, joka sisältää joko latausohjelman tai dropperin, kuten edellisissä tapauksissa.
SambaSpy on varustettu monipuolisilla uhkaamisominaisuuksilla
SambaSpy on Java-kielellä kehitetty monipuolinen Remote Access Trojan (RAT), joka toimii kuin Sveitsin armeijan veitsi kyberrikollisille. Se tarjoaa laajan valikoiman ominaisuuksia, mukaan lukien tiedostojärjestelmän ja prosessien hallinta, etätyöpöydän ohjaus, tiedostojen lataus/lataus, verkkokameran käyttö, näppäinkirjaus, leikepöydän seuranta, kuvakaappaus ja komentotulkin etäkäyttö.
Haittaohjelma voi myös ladata lisälaajennuksia ajon aikana suorittamalla aiemmin ladattuja tiedostoja, jolloin se voi parantaa toimintojaan tarpeen mukaan. Lisäksi se on suunniteltu keräämään tunnistetietoja suosituista verkkoselaimista, kuten Chrome, Edge, Opera, Brave, Iridium ja Vivaldi.
Infrastruktuurivihjeet viittaavat siihen, että SambaSpyn takana oleva uhkatekijä saattaa laajentaa toimintaansa Brasiliaan ja Espanjaan. Useat yhteydet Brasiliaan, kuten kielijäljet koodissa ja brasilialaisia käyttäjiä koskevat verkkotunnukset, viittaavat brasilialaista alkuperää. Tämä sopii laajempaan trendiin, jossa latinalaisamerikkalaiset hyökkääjät iskevät usein Euroopan maihin, joilla on kielellisesti samanlaiset markkinat, kuten Italiassa, Espanjassa ja Portugalissa.
