SambaSpy skadelig programvare
En nylig oppdaget skadelig programvare, kalt SambaSpy, retter seg spesifikt mot brukere i Italia gjennom en phishing-kampanje ledet av en mistenkt portugisisktalende trusselaktør fra Brasil. I motsetning til de fleste trusselaktører, som vanligvis sikter mot et bredt publikum for å maksimere gevinster, ser denne gruppen ut til å konsentrere seg utelukkende om Italia. Det er mulig de bruker denne fokuserte tilnærmingen som en testkjøring før de utvider sine aktiviteter til andre regioner.
Innholdsfortegnelse
SambaSpy-angrep begynner med phishing-meldinger
Angrepet starter med en phishing-e-post som leverer enten et HTML-vedlegg eller en innebygd lenke som utløser infeksjonsprosessen. Hvis HTML-vedlegget åpnes, avslører det et ZIP-arkiv med en nedlaster eller dropper, som distribuerer og kjører den multifunksjonelle RAT-nyttelasten.
Nedlasteren henter skadelig programvare fra en ekstern server, mens dropperen trekker ut nyttelasten direkte fra arkivet i stedet for en ekstern kilde.
En annen infeksjonskjede som involverer den uredelige lenken er mer sofistikert. Hvis den klikkes av et utilsiktet mål, omdirigerer den brukeren til en legitim faktura som ligger på FattureInCloud, og legger til et lag med bedrag.
Alternativt scenario for levering av SambaSpy-trusselen
I et annet scenario vil et klikk på samme URL dirigere offeret til en kompromittert webserver som viser en HTML-side med JavaScript-kode som inneholder kommentarer på brasiliansk portugisisk.
Denne siden omdirigerer brukere til en ødelagt OneDrive-kobling, men bare hvis de bruker Edge, Firefox eller Chrome med språket satt til italiensk. Hvis disse betingelsene ikke er oppfylt, forblir brukerne på samme side. For de som består kontrollene, presenteres et PDF-dokument som er vert på Microsoft OneDrive, som ber dem klikke på en hyperkobling for å se dokumentet. Dette fører dem til en uredelig JAR-fil på MediaFire, som inneholder enten nedlasteren eller dropperen, som i de tidligere tilfellene.
SambaSpy er utstyrt med et mangfoldig sett med truende egenskaper
SambaSpy er en allsidig Remote Access Trojan (RAT) utviklet i Java, og fungerer som en sveitsisk hærkniv for nettkriminelle. Den tilbyr et bredt spekter av funksjoner, inkludert filsystem- og prosessadministrasjon, ekstern skrivebordskontroll, filopplasting/nedlasting, webkameratilgang, tastelogging, utklippstavlesporing, skjermbildefangst og ekstern skalltilgang.
Skadevaren kan også laste inn flere plugins under kjøring ved å kjøre filer den tidligere har lastet ned, slik at den kan forbedre funksjonene etter behov. Dessuten er den designet for å hente inn legitimasjon fra populære nettlesere som Chrome, Edge, Opera, Brave, Iridium og Vivaldi.
Infrastruktur-ledetråder indikerer at trusselaktøren bak SambaSpy kan utvide virksomheten til Brasil og Spania. Flere forbindelser til Brasil, for eksempel språkspor i koden og domener rettet mot brasilianske brukere, antyder en brasiliansk opprinnelse. Dette passer til en bredere trend der latinamerikanske angripere ofte retter seg mot europeiske land med språklig like markeder, som Italia, Spania og Portugal.
