תוכנות זדוניות של SambaSpy
תוכנה זדונית שהתגלתה לאחרונה, המכונה SambaSpy, מכוונת במיוחד למשתמשים באיטליה באמצעות קמפיין פישינג בהובלת שחקן חשוד דובר פורטוגזית מברזיל. בניגוד לרוב שחקני האיומים, שבדרך כלל שואפים לקהל רחב כדי למקסם את הרווחים, נראה שהקבוצה הזו מתרכזת אך ורק באיטליה. ייתכן שהם משתמשים בגישה ממוקדת זו כריצת מבחן לפני הרחבת הפעילות שלהם לאזורים אחרים.
תוכן העניינים
התקפות SambaSpy מתחילות בהודעות דיוג
ההתקפה מתחילה באימייל דיוג המספק קובץ HTML מצורף או קישור מוטבע שמפעיל את תהליך ההדבקה. אם קובץ ה-HTML המצורף נפתח, הוא חושף ארכיון ZIP עם הורדה או מטפטף, אשר פורס ומבצע את מטען ה-RAT הרב תפקודי.
ההורדה מאחזרת את התוכנה הזדונית משרת מרוחק, בעוד שהמטפטף מחלץ את המטען ישירות מהארכיון ולא ממקור חיצוני.
שרשרת הדבקה שנייה הכוללת את החוליה המרמה היא מתוחכמת יותר. אם לוחצים על יעד לא מכוון, הוא מפנה את המשתמש לחשבונית לגיטימית המתארחת ב-FattureInCloud, ומוסיף שכבה של הונאה.
תרחיש חלופי להגשת האיום של SambaSpy
בתרחיש אחר, לחיצה על אותה כתובת אתר מפנה את הקורבן לשרת אינטרנט שנפגע המציג דף HTML עם קוד JavaScript המכיל הערות בפורטוגזית ברזילאית.
דף זה מפנה משתמשים לקישור OneDrive פגום, אך רק אם הם משתמשים ב-Edge, Firefox או Chrome כשהשפה שלהם מוגדרת לאיטלקית. אם התנאים האלה לא מתקיימים, המשתמשים נשארים באותו דף. למי שעובר את הבדיקות, מוצג מסמך PDF המאוחסן ב- Microsoft OneDrive, המורה להם ללחוץ על היפר-קישור כדי לצפות במסמך. זה מוביל אותם לקובץ JAR הונאה ב- MediaFire, המכיל את ההורדה או הטפטפת, כמו במקרים הקודמים.
SambaSpy מצויד במערך מגוון של יכולות מאיימות
SambaSpy הוא טרויאני גישה מרחוק (RAT) רב תכליתי שפותח בג'אווה, ומתפקד כמו אולר שוויצרי עבור פושעי סייבר. הוא מציע מגוון רחב של יכולות, כולל ניהול מערכת קבצים ותהליכים, שליטה מרחוק בשולחן העבודה, העלאת/הורדה של קבצים, גישה למצלמת אינטרנט, רישום מקשים, מעקב אחר לוח, לכידת צילום מסך וגישה מרחוק למעטפת.
התוכנה הזדונית יכולה גם לטעון תוספים נוספים בזמן ריצה על ידי הפעלת קבצים שהורדה בעבר, מה שמאפשר לה לשפר את הפונקציות שלה לפי הצורך. יתר על כן, הוא נועד לקצור אישורים מדפדפני אינטרנט פופולריים כמו Chrome, Edge, Opera, Brave, Iridium ו-Vivaldi.
רמזי תשתית מצביעים על כך ששחקן האיום מאחורי SambaSpy עשוי להרחיב את הפעילות לברזיל וספרד. מספר קשרים לברזיל, כגון עקבות שפה בקוד ודומיינים הממוקדים למשתמשים ברזילאים, מצביעים על מקור ברזילאי. זה מתאים למגמה רחבה יותר שבה תוקפים מאמריקה הלטינית מכוונים לעתים קרובות למדינות אירופה עם שווקים דומים מבחינה לשונית, כמו איטליה, ספרד ופורטוגל.
