Oprogramowanie złośliwe SambaSpy
Nowo odkryte złośliwe oprogramowanie, nazwane SambaSpy, atakuje użytkowników we Włoszech za pośrednictwem kampanii phishingowej prowadzonej przez podejrzewanego o portugalskojęzycznego aktora zagrożeń z Brazylii. W przeciwieństwie do większości aktorów zagrożeń, którzy zazwyczaj dążą do szerokiej publiczności, aby zmaksymalizować zyski, ta grupa wydaje się koncentrować wyłącznie na Włoszech. Możliwe, że wykorzystują to ukierunkowane podejście jako próbę przed rozszerzeniem swoich działań na inne regiony.
Spis treści
Ataki SambaSpy zaczynają się od wiadomości phishingowych
Atak rozpoczyna się od wiadomości e-mail phishing zawierającej załącznik HTML lub osadzony link, który uruchamia proces infekcji. Jeśli załącznik HTML zostanie otwarty, ujawnia archiwum ZIP z programem do pobierania lub dropperem, który wdraża i wykonuje wielofunkcyjny ładunek RAT.
Program pobierający pobiera złośliwe oprogramowanie ze zdalnego serwera, natomiast program dropper wyodrębnia ładunek bezpośrednio z archiwum, a nie z zewnętrznego źródła.
Drugi łańcuch infekcji obejmujący oszukańczy link jest bardziej wyrafinowany. Jeśli zostanie kliknięty przez niezamierzony cel, przekierowuje użytkownika do legalnej faktury hostowanej na FattureInCloud, dodając warstwę oszustwa.
Alternatywny scenariusz dostarczania zagrożenia SambaSpy
W innym scenariuszu kliknięcie tego samego adresu URL przekierowuje ofiarę do zainfekowanego serwera WWW, który wyświetla stronę HTML z kodem JavaScript zawierającym komentarze w języku brazylijskim.
Ta strona przekierowuje użytkowników do uszkodzonego łącza OneDrive, ale tylko wtedy, gdy używają Edge, Firefox lub Chrome z językiem ustawionym na włoski. Jeśli te warunki nie są spełnione, użytkownicy pozostają na tej samej stronie. Tym, którzy przejdą kontrolę, prezentowany jest dokument PDF hostowany w Microsoft OneDrive, instruujący ich, aby kliknęli hiperłącze, aby wyświetlić dokument. Prowadzi ich to do fałszywego pliku JAR w MediaFire, zawierającego albo downloader, albo dropper, jak w poprzednich przypadkach.
SambaSpy jest wyposażony w zróżnicowany zestaw możliwości tworzenia zagrożeń
SambaSpy to wszechstronny trojan zdalnego dostępu (RAT) opracowany w Javie, działający jak scyzoryk szwajcarski dla cyberprzestępców. Oferuje szeroki zakres możliwości, w tym zarządzanie systemem plików i procesami, zdalne sterowanie pulpitem, przesyłanie/pobieranie plików, dostęp do kamery internetowej, rejestrowanie naciśnięć klawiszy, śledzenie schowka, przechwytywanie zrzutów ekranu i zdalny dostęp do powłoki.
Malware może również ładować dodatkowe wtyczki w czasie wykonywania, wykonując wcześniej pobrane pliki, co pozwala mu rozszerzać swoje funkcje w razie potrzeby. Ponadto jest zaprojektowany do zbierania poświadczeń z popularnych przeglądarek internetowych, takich jak Chrome, Edge, Opera, Brave, Iridium i Vivaldi.
Wskazówki dotyczące infrastruktury wskazują, że aktor zagrożenia stojący za SambaSpy może rozszerzać operacje na Brazylię i Hiszpanię. Kilka połączeń z Brazylią, takich jak ślady językowe w kodzie i domeny skierowane do brazylijskich użytkowników, sugeruje brazylijskie pochodzenie. Pasuje to do szerszego trendu, w którym atakujący z Ameryki Łacińskiej często atakują kraje europejskie o podobnych rynkach językowych, takie jak Włochy, Hiszpania i Portugalia.
