SambaSpy Malware

SambaSpy라는 이름의 새로 발견된 맬웨어는 브라질의 포르투갈어를 구사하는 위협 행위자가 주도하는 피싱 캠페인을 통해 이탈리아의 사용자를 특별히 표적으로 삼고 있습니다. 일반적으로 이익을 극대화하기 위해 광범위한 청중을 목표로 하는 대부분의 위협 행위자와 달리 이 그룹은 이탈리아에만 집중하는 것으로 보입니다. 이들은 다른 지역으로 활동을 확대하기 전에 이러한 집중적인 접근 방식을 테스트 실행으로 사용하고 있을 가능성이 있습니다.

SambaSpy 공격은 피싱 메시지로 시작

공격은 HTML 첨부 파일이나 감염 프로세스를 트리거하는 내장 링크를 전달하는 피싱 이메일로 시작됩니다. HTML 첨부 파일이 열리면 다운로더 또는 드로퍼가 있는 ZIP 아카이브가 드러나고, 이는 다기능 RAT 페이로드를 배포하고 실행합니다.

다운로더는 원격 서버에서 맬웨어를 검색하는 반면, 드로퍼는 외부 소스가 아닌 보관소에서 직접 페이로드를 추출합니다.

사기성 링크와 관련된 두 번째 감염 사슬은 더 정교합니다. 의도치 않은 대상이 클릭하면 사용자를 FattureInCloud에 호스팅된 합법적인 송장으로 리디렉션하여 속임수의 계층을 추가합니다.

SambaSpy 위협 전달을 위한 대체 시나리오

또 다른 시나리오에서는, 동일한 URL을 클릭하면 피해자는 손상된 웹 서버로 이동하게 되며, 해당 웹 서버에는 브라질 포르투갈어로 된 주석이 포함된 JavaScript 코드가 있는 HTML 페이지가 표시됩니다.

이 페이지는 사용자를 손상된 OneDrive 링크로 리디렉션하지만, 사용자가 언어를 이탈리아어로 설정한 Edge, Firefox 또는 Chrome을 사용하는 경우에만 해당됩니다. 이러한 조건이 충족되지 않으면 사용자는 같은 페이지에 남아 있습니다. 검사를 통과한 사용자에게는 Microsoft OneDrive에 호스팅된 PDF 문서가 표시되어 하이퍼링크를 클릭하여 문서를 보도록 지시합니다. 이렇게 하면 이전 사례와 마찬가지로 다운로더 또는 드로퍼가 포함된 MediaFire의 사기성 JAR 파일로 연결됩니다.

SambaSpy는 다양한 위협 기능을 갖추고 있습니다.

SambaSpy는 Java로 개발된 다재다능한 원격 액세스 트로이 목마(RAT)로, 사이버 범죄자를 위한 스위스 군용 칼처럼 기능합니다. 파일 시스템 및 프로세스 관리, 원격 데스크톱 제어, 파일 업로드/다운로드, 웹캠 액세스, 키로깅, 클립보드 추적, 스크린샷 캡처, 원격 셸 액세스를 포함한 광범위한 기능을 제공합니다.

이 멀웨어는 이전에 다운로드한 파일을 실행하여 런타임에 추가 플러그인을 로드할 수도 있으며, 필요에 따라 기능을 강화할 수 있습니다. 게다가 Chrome, Edge, Opera, Brave, Iridium, Vivaldi와 같은 인기 있는 웹 브라우저에서 자격 증명을 수집하도록 설계되었습니다.

인프라 단서에 따르면 SambaSpy의 배후에 있는 위협 행위자는 브라질과 스페인으로 작전을 확장하고 있을 수 있습니다. 코드의 언어 추적 및 브라질 사용자를 타겟팅하는 도메인과 같은 브라질과의 여러 연결은 브라질 출신임을 시사합니다. 이는 라틴 아메리카 공격자가 종종 이탈리아, 스페인, 포르투갈과 같이 언어적으로 유사한 시장을 가진 유럽 국가를 타겟으로 삼는 더 광범위한 추세에 부합합니다.