SambaSpy Malware
Satu perisian hasad yang baru ditemui, digelar SambaSpy, menyasarkan pengguna di Itali secara khusus melalui kempen pancingan data yang diketuai oleh pelakon ancaman yang disyaki berbahasa Portugis dari Brazil. Tidak seperti kebanyakan pelakon ancaman, yang biasanya menyasarkan khalayak luas untuk memaksimumkan keuntungan, kumpulan ini nampaknya menumpukan perhatian semata-mata di Itali. Ada kemungkinan mereka menggunakan pendekatan terfokus ini sebagai ujian sebelum melanjutkan aktiviti mereka ke wilayah lain.
Isi kandungan
Serangan SambaSpy Bermula dengan Mesej Phishing
Serangan bermula dengan e-mel pancingan data yang menghantar sama ada lampiran HTML atau pautan terbenam yang mencetuskan proses jangkitan. Jika lampiran HTML dibuka, ia mendedahkan arkib ZIP dengan pemuat turun atau penitis, yang menggunakan dan melaksanakan muatan RAT berbilang fungsi.
Pemuat turun mendapatkan semula perisian hasad daripada pelayan jauh, manakala penitis mengekstrak muatan terus daripada arkib dan bukannya sumber luaran.
Rantaian jangkitan kedua yang melibatkan pautan penipuan adalah lebih canggih. Jika diklik oleh sasaran yang tidak diingini, ia mengubah hala pengguna ke invois yang sah yang dihoskan pada FattureInCloud, menambah lapisan penipuan.
Senario Gantian untuk Penyampaian Ancaman SambaSpy
Dalam senario lain, mengklik URL yang sama mengarahkan mangsa ke pelayan Web yang terjejas yang memaparkan halaman HTML dengan kod JavaScript yang mengandungi ulasan dalam bahasa Portugis Brazil.
Halaman ini mengubah hala pengguna ke pautan OneDrive yang rosak, tetapi hanya jika mereka menggunakan Edge, Firefox atau Chrome dengan bahasa mereka ditetapkan kepada bahasa Itali. Jika syarat ini tidak dipenuhi, pengguna kekal pada halaman yang sama. Bagi mereka yang lulus semakan, dokumen PDF yang dihoskan pada Microsoft OneDrive dibentangkan, mengarahkan mereka mengklik hiperpautan untuk melihat dokumen tersebut. Ini membawa mereka kepada fail JAR penipuan pada MediaFire, yang mengandungi sama ada pemuat turun atau penitis, seperti dalam kes sebelumnya.
SambaSpy Dilengkapi dengan Set Pelbagai Keupayaan Mengancam
SambaSpy ialah Trojan Akses Jauh (RAT) serba boleh yang dibangunkan di Jawa, berfungsi seperti pisau Tentera Swiss untuk penjenayah siber. Ia menawarkan pelbagai keupayaan, termasuk sistem fail dan pengurusan proses, kawalan desktop jauh, muat naik/muat turun fail, akses kamera web, pengelogan kekunci, penjejakan papan keratan, tangkapan tangkapan skrin dan akses cangkerang jauh.
Malware juga boleh memuatkan pemalam tambahan pada masa jalan dengan melaksanakan fail yang dimuat turun sebelum ini, membolehkannya meningkatkan fungsinya mengikut keperluan. Selain itu, ia direka untuk mendapatkan bukti kelayakan daripada pelayar Web popular seperti Chrome, Edge, Opera, Brave, Iridium dan Vivaldi.
Petunjuk infrastruktur menunjukkan bahawa pelaku ancaman di sebalik SambaSpy mungkin mengembangkan operasi ke Brazil dan Sepanyol. Beberapa sambungan ke Brazil, seperti jejak bahasa dalam kod dan domain yang menyasarkan pengguna Brazil, mencadangkan asal Brazil. Ini sesuai dengan aliran yang lebih luas di mana penyerang Amerika Latin sering menyasarkan negara Eropah dengan pasaran yang serupa dari segi bahasa, seperti Itali, Sepanyol dan Portugal.
