Bedreigingsdatabase Malware SambaSpy-malware

SambaSpy-malware

Een onlangs ontdekte malware, genaamd SambaSpy, richt zich specifiek op gebruikers in Italië via een phishingcampagne die wordt geleid door een vermoedelijke Portugeessprekende bedreigingsactor uit Brazilië. In tegenstelling tot de meeste bedreigingsactors, die doorgaans mikken op een breed publiek om winst te maximaliseren, lijkt deze groep zich uitsluitend op Italië te concentreren. Het is mogelijk dat ze deze gerichte aanpak gebruiken als een testrun voordat ze hun activiteiten uitbreiden naar andere regio's.

SambaSpy-aanvallen beginnen met phishingberichten

De aanval begint met een phishing-e-mail die een HTML-bijlage of een ingebedde link levert die het infectieproces activeert. Als de HTML-bijlage wordt geopend, wordt een ZIP-archief met een downloader of dropper onthuld, die de multifunctionele RAT-payload implementeert en uitvoert.

De downloader haalt de malware op van een externe server, terwijl de dropper de payload rechtstreeks uit het archief haalt in plaats van van een externe bron.

Een tweede infectieketen met de frauduleuze link is geavanceerder. Als er op wordt geklikt door een onbedoeld doelwit, wordt de gebruiker doorgestuurd naar een legitieme factuur die wordt gehost op FattureInCloud, wat een laag van bedrog toevoegt.

Alternatief scenario voor de levering van de SambaSpy-bedreiging

In een ander scenario wordt het slachtoffer door op dezelfde URL te klikken doorgestuurd naar een gecompromitteerde webserver die een HTML-pagina weergeeft met JavaScript-code met opmerkingen in het Braziliaans-Portugees.

Deze pagina leidt gebruikers om naar een corrupte OneDrive-link, maar alleen als ze Edge, Firefox of Chrome gebruiken met hun taal ingesteld op Italiaans. Als aan deze voorwaarden niet wordt voldaan, blijven de gebruikers op dezelfde pagina. Voor degenen die de controles doorstaan, wordt een PDF-document gepresenteerd dat is gehost op Microsoft OneDrive, met de instructie om op een hyperlink te klikken om het document te bekijken. Dit leidt hen naar een frauduleus JAR-bestand op MediaFire, dat ofwel de downloader of dropper bevat, zoals in de vorige gevallen.

SambaSpy is uitgerust met een gevarieerde set aan bedreigende mogelijkheden

SambaSpy is een veelzijdige Remote Access Trojan (RAT) die is ontwikkeld in Java en die functioneert als een Zwitsers zakmes voor cybercriminelen. Het biedt een breed scala aan mogelijkheden, waaronder bestandssysteem- en procesbeheer, externe desktopbesturing, uploaden/downloaden van bestanden, webcamtoegang, keylogging, klembordtracking, screenshot-opname en externe shelltoegang.

De malware kan ook extra plug-ins laden tijdens runtime door bestanden uit te voeren die het eerder heeft gedownload, waardoor het zijn functies kan verbeteren indien nodig. Bovendien is het ontworpen om inloggegevens te verzamelen van populaire webbrowsers zoals Chrome, Edge, Opera, Brave, Iridium en Vivaldi.

Infrastructuuraanwijzingen geven aan dat de dreigingsactor achter SambaSpy zijn activiteiten mogelijk uitbreidt naar Brazilië en Spanje. Verschillende verbindingen met Brazilië, zoals taalsporen in de code en domeinen die Braziliaanse gebruikers targeten, suggereren een Braziliaanse oorsprong. Dit past in een bredere trend waarbij Latijns-Amerikaanse aanvallers vaak Europese landen targeten met taalkundig vergelijkbare markten, zoals Italië, Spanje en Portugal.


Trending

Meest bekeken

Bezig met laden...