SambaSpy kenkėjiška programa
Naujai atrasta kenkėjiška programa, pavadinta „SambaSpy“, yra specialiai skirta Italijoje esantiems naudotojams per sukčiavimo kampaniją, kuriai vadovauja įtariamas portugališkai kalbantis grėsmės veikėjas iš Brazilijos. Skirtingai nuo daugelio grėsmių veikėjų, kurie paprastai siekia plačios auditorijos, kad gautų kuo daugiau naudos, atrodo, kad ši grupė koncentruojasi tik į Italiją. Gali būti, kad jie taiko šį kryptingą metodą kaip bandomąjį paleidimą prieš išplėsdami savo veiklą kituose regionuose.
Turinys
„SambaSpy“ atakos prasideda nuo sukčiavimo pranešimų
Ataka prasideda nuo sukčiavimo el. laiško, kuriame pateikiamas HTML priedas arba įterptoji nuoroda, kuri suaktyvina užkrėtimo procesą. Jei atidaromas HTML priedas, jis atskleidžia ZIP archyvą su atsisiuntimo priemone arba lašintuvu, kuris diegia ir vykdo daugiafunkcį RAT naudingąjį apkrovą.
Atsisiuntimo programa nuskaito kenkėjišką programą iš nuotolinio serverio, o lašintuvas ištraukia naudingąją apkrovą tiesiai iš archyvo, o ne iš išorinio šaltinio.
Antroji infekcijos grandinė, apimanti apgaulingą grandį, yra sudėtingesnė. Jei spustelėja nenumatytas taikinys, jis nukreipia vartotoją į teisėtą sąskaitą faktūrą, priglobtą FattureInCloud, pridėdamas apgaulės sluoksnį.
Alternatyvus SambaSpy grėsmės pristatymo scenarijus
Pagal kitą scenarijų, spustelėjus tą patį URL, auka nukreipiama į pažeistą žiniatinklio serverį, kuriame rodomas HTML puslapis su JavaScript kodu su komentarais brazilų portugalų kalba.
Šis puslapis nukreipia vartotojus į sugadintą „OneDrive“ nuorodą, bet tik tuo atveju, jei jie naudoja „Edge“, „Firefox“ arba „Chrome“ ir jų kalba nustatyta į italų. Jei šios sąlygos neįvykdomos, vartotojai lieka tame pačiame puslapyje. Tiems, kurie išlaiko patikrinimus, pateikiamas „Microsoft OneDrive“ talpinamas PDF dokumentas, kuriame nurodoma spustelėti hipersaitą, kad peržiūrėtų dokumentą. Tai veda juos prie apgaulingo JAR failo „MediaFire“, kuriame yra atsisiuntimo priemonė arba lašintuvas, kaip ir ankstesniais atvejais.
„SambaSpy“ yra aprūpintas įvairiomis grėsmę keliančiomis galimybėmis
SambaSpy yra universalus nuotolinės prieigos Trojos arklys (RAT), sukurtas Java, veikiantis kaip Šveicarijos armijos peilis kibernetiniams nusikaltėliams. Jis siūlo daugybę galimybių, įskaitant failų sistemos ir procesų valdymą, nuotolinio darbalaukio valdymą, failų įkėlimą / atsisiuntimą, prieigą prie internetinės kameros, klaviatūros registravimą, iškarpinės sekimą, ekrano kopijų fiksavimą ir nuotolinę prieigą prie apvalkalo.
Kenkėjiška programa taip pat gali įkelti papildomų įskiepių vykdymo metu, vykdydama anksčiau atsisiųstus failus, kad prireikus patobulintų savo funkcijas. Be to, jis skirtas surinkti kredencialus iš populiarių interneto naršyklių, tokių kaip Chrome, Edge, Opera, Brave, Iridium ir Vivaldi.
Infrastruktūros įkalčiai rodo, kad „SambaSpy“ grėsmės veikėjas gali plėsti veiklą Brazilijoje ir Ispanijoje. Keletas ryšių su Brazilija, pvz., kalbos pėdsakai kode ir domenai, taikomi Brazilijos naudotojams, rodo Brazilijos kilmę. Tai atitinka platesnę tendenciją, kai Lotynų Amerikos užpuolikai dažnai taikosi į Europos šalis, kurių kalbiškai panašios rinkos, pavyzdžiui, Italiją, Ispaniją ir Portugaliją.
