Malware SambaSpy
Un malware appena scoperto, denominato SambaSpy, sta prendendo di mira specificamente gli utenti in Italia tramite una campagna di phishing guidata da un presunto autore di minacce di lingua portoghese proveniente dal Brasile. A differenza della maggior parte degli autori di minacce, che in genere mirano a un vasto pubblico per massimizzare i guadagni, questo gruppo sembra concentrarsi esclusivamente sull'Italia. È possibile che stiano utilizzando questo approccio mirato come test prima di estendere le loro attività ad altre regioni.
Sommario
Gli attacchi SambaSpy iniziano con messaggi di phishing
L'attacco inizia con un'e-mail di phishing che invia un allegato HTML o un link incorporato che innesca il processo di infezione. Se l'allegato HTML viene aperto, rivela un archivio ZIP con un downloader o dropper, che distribuisce ed esegue il payload RAT multifunzionale.
Il downloader recupera il malware da un server remoto, mentre il dropper estrae il payload direttamente dall'archivio anziché da una fonte esterna.
Una seconda catena di infezione che coinvolge il link fraudolento è più sofisticata. Se cliccato da un target indesiderato, reindirizza l'utente a una fattura legittima ospitata su FattureInCloud, aggiungendo un livello di inganno.
Scenario alternativo per la diffusione della minaccia SambaSpy
In un altro scenario, cliccando sullo stesso URL la vittima viene indirizzata a un server Web compromesso che visualizza una pagina HTML con codice JavaScript contenente commenti in portoghese brasiliano.
Questa pagina reindirizza gli utenti a un collegamento OneDrive corrotto, ma solo se utilizzano Edge, Firefox o Chrome con la lingua impostata su italiano. Se queste condizioni non vengono soddisfatte, gli utenti rimangono sulla stessa pagina. Per coloro che superano i controlli, viene presentato un documento PDF ospitato su Microsoft OneDrive, che chiede loro di fare clic su un collegamento ipertestuale per visualizzare il documento. Questo li porta a un file JAR fraudolento su MediaFire, contenente il downloader o il dropper, come nei casi precedenti.
SambaSpy è dotato di un set diversificato di capacità minacciose
SambaSpy è un versatile Remote Access Trojan (RAT) sviluppato in Java, che funziona come un coltellino svizzero per i criminali informatici. Offre un'ampia gamma di funzionalità, tra cui la gestione del file system e dei processi, il controllo remoto del desktop, il caricamento/scaricamento dei file, l'accesso tramite webcam, il keylogging, il tracciamento degli appunti, l'acquisizione di screenshot e l'accesso remoto alla shell.
Il malware può anche caricare plugin aggiuntivi in fase di esecuzione eseguendo file precedentemente scaricati, consentendogli di potenziare le sue funzioni in base alle necessità. Inoltre, è progettato per raccogliere credenziali da browser Web popolari come Chrome, Edge, Opera, Brave, Iridium e Vivaldi.
Gli indizi infrastrutturali indicano che l'autore della minaccia dietro SambaSpy potrebbe espandere le operazioni in Brasile e Spagna. Diversi collegamenti con il Brasile, come tracce linguistiche nel codice e domini che prendono di mira utenti brasiliani, suggeriscono un'origine brasiliana. Ciò si adatta a una tendenza più ampia in cui gli aggressori latinoamericani spesso prendono di mira paesi europei con mercati linguisticamente simili, come Italia, Spagna e Portogallo.
