Malware SambaSpy
Novootkriveni zlonamjerni softver, nazvan SambaSpy, posebno cilja korisnike u Italiji kroz phishing kampanju koju vodi osumnjičeni akter prijetnje iz Brazila koji govori portugalski. Za razliku od većine aktera prijetnji, koji obično ciljaju na široku publiku kako bi povećali dobitke, čini se da se ova skupina koncentrira isključivo na Italiju. Moguće je da koriste ovaj fokusirani pristup kao probni rad prije nego prošire svoje aktivnosti na druge regije.
Sadržaj
SambaSpy napadi počinju phishing porukama
Napad počinje s phishing e-poštom koja isporučuje ili HTML privitak ili ugrađenu vezu koja pokreće proces infekcije. Ako se otvori HTML privitak, otkriva se ZIP arhiva s programom za preuzimanje ili ispuštanjem, koji raspoređuje i izvršava višenamjenski RAT korisni teret.
Downloader dohvaća zlonamjerni softver s udaljenog poslužitelja, dok dropper izvlači sadržaj izravno iz arhive, a ne vanjskog izvora.
Drugi lanac infekcije koji uključuje lažnu vezu je sofisticiraniji. Ako klikne nenamjerna meta, preusmjerava korisnika na legitimnu fakturu koja se nalazi na FattureInCloudu, dodajući sloj obmane.
Alternativni scenarij za isporuku prijetnje SambaSpy
U drugom scenariju, klik na isti URL usmjerava žrtvu na kompromitirani web poslužitelj koji prikazuje HTML stranicu s JavaScript kodom koji sadrži komentare na brazilskom portugalskom.
Ova stranica preusmjerava korisnike na oštećenu poveznicu OneDrive, ali samo ako koriste Edge, Firefox ili Chrome s jezikom postavljenim na talijanski. Ako ti uvjeti nisu zadovoljeni, korisnici ostaju na istoj stranici. Za one koji prođu provjere, predstavljen je PDF dokument koji se nalazi na Microsoft OneDriveu, s uputama da kliknu hipervezu za pregled dokumenta. To ih vodi do lažne JAR datoteke na MediaFireu, koja sadrži ili downloader ili dropper, kao u prethodnim slučajevima.
SambaSpy je opremljen raznolikim skupom prijetećih mogućnosti
SambaSpy je svestrani trojanac za udaljeni pristup (RAT) razvijen u Javi, koji funkcionira poput švicarskog vojnog noža za kibernetičke kriminalce. Nudi širok raspon mogućnosti, uključujući upravljanje datotečnim sustavom i procesima, upravljanje udaljenom radnom površinom, učitavanje/preuzimanje datoteka, pristup web kameri, keylogging, praćenje međuspremnika, snimanje zaslona i udaljeni pristup ljusci.
Zlonamjerni softver također može učitati dodatne dodatke tijekom izvođenja izvršavanjem datoteka koje je prethodno preuzeo, omogućujući mu da po potrebi poboljša svoje funkcije. Štoviše, dizajniran je za prikupljanje vjerodajnica iz popularnih web preglednika kao što su Chrome, Edge, Opera, Brave, Iridium i Vivaldi.
Infrastrukturni tragovi pokazuju da prijetnja koja stoji iza SambaSpyja možda širi operacije na Brazil i Španjolsku. Nekoliko veza s Brazilom, kao što su jezični tragovi u kodu i domene koje ciljaju brazilske korisnike, sugeriraju brazilsko podrijetlo. To odgovara širem trendu u kojem latinoamerički napadači često ciljaju europske zemlje s jezično sličnim tržištima, poput Italije, Španjolske i Portugala.
