SambaSpy Malware
A SambaSpy névre keresztelt újonnan felfedezett rosszindulatú program kifejezetten az olaszországi felhasználókat célozza meg egy adathalász kampányon keresztül, amelyet egy feltételezett portugálul beszélő brazil fenyegetésvezető vezet. Ellentétben a legtöbb fenyegető szereplővel, akik általában széles közönségre törekednek a haszon maximalizálása érdekében, ez a csoport úgy tűnik, hogy kizárólag Olaszországra koncentrál. Lehetséges, hogy ezt a fókuszált megközelítést próbaüzemként használják, mielőtt kiterjesztenék tevékenységüket más régiókra.
Tartalomjegyzék
A SambaSpy támadások adathalász üzenetekkel kezdődnek
A támadás egy adathalász e-maillel kezdődik, amely egy HTML-mellékletet vagy egy beágyazott hivatkozást tartalmaz, amely elindítja a fertőzési folyamatot. Ha a HTML-mellékletet megnyitják, akkor megjelenik egy ZIP-archívum letöltővel vagy dropperrel, amely telepíti és végrehajtja a többfunkciós RAT hasznos adatot.
A letöltő letölti a rosszindulatú programot egy távoli szerverről, míg a dropper közvetlenül az archívumból vonja ki a hasznos terhet, nem pedig külső forrásból.
A második fertőzési lánc, amely a csaló linket tartalmazza, kifinomultabb. Ha egy nem szándékos célpont rákattint, a felhasználót a FattureInCloudon tárolt jogos számlára irányítja át, ami megtévesztési réteget hoz létre.
Alternatív forgatókönyv a SambaSpy fenyegetés kézbesítésére
Egy másik forgatókönyv szerint, ha ugyanarra az URL-címre kattint, az áldozat egy feltört webszerverre kerül, amely egy brazil portugál nyelvű megjegyzéseket tartalmazó JavaScript-kódot tartalmazó HTML-oldalt jelenít meg.
Ez az oldal egy sérült OneDrive-hivatkozásra irányítja át a felhasználókat, de csak akkor, ha Edge-et, Firefoxot vagy Chrome-ot használnak, és a nyelvük olaszra van állítva. Ha ezek a feltételek nem teljesülnek, a felhasználók ugyanazon az oldalon maradnak. Azok számára, akik megfelelnek az ellenőrzéseknek, a Microsoft OneDrive-on tárolt PDF-dokumentum jelenik meg, amely arra utasítja őket, hogy kattintson a hivatkozásra a dokumentum megtekintéséhez. Ez egy hamis JAR-fájlhoz vezet a MediaFire-en, amely vagy a letöltőt, vagy a droppert tartalmazza, mint az előző esetekben.
A SambaSpy számos fenyegető képességgel van felszerelve
A SambaSpy egy Java nyelven kifejlesztett, sokoldalú Remote Access Trojan (RAT), amely úgy működik, mint egy svájci kés a kiberbűnözők számára. A lehetőségek széles skáláját kínálja, beleértve a fájlrendszer- és folyamatkezelést, a távoli asztali vezérlést, a fájlfeltöltést/letöltést, a webkamerás hozzáférést, a billentyűnaplózást, a vágólap követését, a képernyőképek rögzítését és a távoli shell hozzáférést.
A rosszindulatú program futás közben további beépülő modulokat is betölthet a korábban letöltött fájlok végrehajtásával, így szükség szerint javíthatja funkcióit. Ezenkívül úgy tervezték, hogy olyan népszerű webböngészők hitelesítő adatait gyűjtse össze, mint a Chrome, Edge, Opera, Brave, Iridium és Vivaldi.
Az infrastrukturális nyomok arra utalnak, hogy a SambaSpy mögött álló fenyegetett szereplő Brazíliára és Spanyolországra bővítheti tevékenységét. Számos brazíliai kapcsolat – például a kódban található nyelvi nyomok és a brazil felhasználókat célzó domainek – brazil származásra utal. Ez illeszkedik egy tágabb tendenciához, ahol a latin-amerikai támadók gyakran olyan európai országokat céloznak meg, amelyek nyelvileg hasonló piacokkal rendelkeznek, mint például Olaszország, Spanyolország és Portugália.
