SambaSpy ļaunprātīga programmatūra
Jaunatklāta ļaunprogrammatūra ar nosaukumu SambaSpy ir īpaši vērsta uz lietotājiem Itālijā, izmantojot pikšķerēšanas kampaņu, kuru vada aizdomās portugāļu valodā runājošs draudu aktieris no Brazīlijas. Atšķirībā no vairuma apdraudējuma dalībnieku, kuru mērķis parasti ir plaša auditorija, lai palielinātu ieguvumus, šī grupa, šķiet, koncentrējas tikai uz Itāliju. Iespējams, ka viņi izmanto šo mērķtiecīgo pieeju kā izmēģinājuma braucienu pirms darbības paplašināšanas citos reģionos.
Satura rādītājs
SambaSpy uzbrukumi sākas ar pikšķerēšanas ziņojumiem
Uzbrukums sākas ar pikšķerēšanas e-pasta ziņojumu, kas piegādā vai nu HTML pielikumu, vai iegultu saiti, kas izraisa inficēšanās procesu. Ja tiek atvērts HTML pielikums, tas atklāj ZIP arhīvu ar lejupielādētāju vai pilinātāju, kas izvieto un izpilda daudzfunkcionālo RAT lietderīgo slodzi.
Lejupielādētājs izgūst ļaunprātīgu programmatūru no attālā servera, savukārt pilinātājs izņem lietderīgo slodzi tieši no arhīva, nevis no ārēja avota.
Otrā infekcijas ķēde, kas ietver krāpniecisko saiti, ir sarežģītāka. Ja noklikšķina neparedzēts mērķis, tas novirza lietotāju uz likumīgu rēķinu, kas tiek mitināts FattureInCloud, pievienojot maldināšanas slāni.
Alternatīvs scenārijs SambaSpy draudu piegādei
Citā gadījumā, noklikšķinot uz tā paša URL, upuris tiek novirzīts uz apdraudētu tīmekļa serveri, kas parāda HTML lapu ar JavaScript kodu, kurā ir komentāri brazīliešu portugāļu valodā.
Šī lapa novirza lietotājus uz bojātu OneDrive saiti, taču tikai tad, ja viņi izmanto Edge, Firefox vai Chrome ar iestatītu itāļu valodu. Ja šie nosacījumi nav izpildīti, lietotāji paliek tajā pašā lapā. Tiem, kas nokārto pārbaudes, tiek parādīts Microsoft OneDrive mitināts PDF dokuments, kas liek viņiem noklikšķināt uz hipersaites, lai skatītu dokumentu. Tas noved pie krāpnieciska JAR faila pakalpojumā MediaFire, kurā ir vai nu lejupielādētājs, vai pilinātājs, kā tas bija iepriekšējos gadījumos.
SambaSpy ir aprīkots ar daudzveidīgu draudošu iespēju komplektu
SambaSpy ir daudzpusīgs attālās piekļuves Trojas zirgs (RAT), kas izstrādāts Java un darbojas kā Šveices armijas nazis kibernoziedzniekiem. Tā piedāvā plašu iespēju klāstu, tostarp failu sistēmu un procesu pārvaldību, attālo darbvirsmas vadību, failu augšupielādi/lejupielāde, piekļuvi tīmekļa kamerai, taustiņu reģistrēšanu, starpliktuves izsekošanu, ekrānuzņēmumu tveršanu un attālo čaulas piekļuvi.
Ļaunprātīga programmatūra izpildes laikā var arī ielādēt papildu spraudņus, izpildot iepriekš lejupielādētos failus, ļaujot tai pēc vajadzības uzlabot savas funkcijas. Turklāt tas ir paredzēts, lai iegūtu akreditācijas datus no tādām populārām tīmekļa pārlūkprogrammām kā Chrome, Edge, Opera, Brave, Iridium un Vivaldi.
Infrastruktūras norādes liecina, ka SambaSpy apdraudējuma dalībnieks, iespējams, paplašina darbību Brazīlijā un Spānijā. Vairāki savienojumi ar Brazīliju, piemēram, valodas pēdas kodā un domēni, kuru mērķauditorija ir Brazīlijas lietotāji, liecina par Brazīlijas izcelsmi. Tas atbilst plašākai tendencei, kurā Latīņamerikas uzbrucēji bieži vien mērķē uz Eiropas valstīm ar līdzīgiem lingvistiski tirgiem, piemēram, Itāliju, Spāniju un Portugāli.
