SambaSpy Malware
Um malware recém-descoberto, chamado SambaSpy, está mirando especificamente usuários na Itália por meio de uma campanha de phishing liderada por um suposto agente de ameaças de língua portuguesa do Brasil. Ao contrário da maioria dos agentes de ameaças, que normalmente visam um público amplo para maximizar os ganhos, esse grupo parece estar se concentrando apenas na Itália. É possível que eles estejam usando essa abordagem focada como um teste antes de estender suas atividades para outras regiões.
Índice
Os Ataques do SambaSpy Começam com Mensagens de Phishing
O ataque começa com um e-mail de phishing entregando um anexo HTML ou um link incorporado que dispara o processo de infecção. Se o anexo HTML for aberto, ele revela um arquivo ZIP com um downloader ou dropper, que implanta e executa o payload RAT multifuncional.
O downloader recupera o malware de um servidor remoto, enquanto o dropper extrai a carga diretamente do arquivo em vez de uma fonte externa.
Uma segunda cadeia de infecção envolvendo o link fraudulento é mais sofisticada. Se clicado por um alvo não intencional, ele redireciona o usuário para uma fatura legítima hospedada no FattureInCloud, adicionando uma camada de engano.
Um Cenário Alternativo para a Entrega da Ameaça SambaSpy
Em outro cenário, clicar no mesmo URL direciona a vítima para um servidor Web comprometido que exibe uma página HTML com código JavaScript contendo comentários em português do Brasil.
Esta página redireciona os usuários para um link corrompido do OneDrive, mas somente se eles estiverem usando o Edge, Firefox ou Chrome com o idioma definido como italiano. Se essas condições não forem atendidas, os usuários permanecerão na mesma página. Para aqueles que passarem nas verificações, um documento PDF hospedado no Microsoft OneDrive é apresentado, instruindo-os a clicar em um hiperlink para visualizar o documento. Isso os leva a um arquivo JAR fraudulento no MediaFire, contendo o downloader ou o dropper, como nos casos anteriores.
O SambaSpy é Equipado com um Conjunto Diversificado de Recursos
O SambaSpy é um Trojan de Acesso Remoto (RAT) versátil desenvolvido em Java, funcionando como um canivete suíço para cibercriminosos. Ele oferece uma ampla gama de capacidades, incluindo gerenciamento de sistema de arquivos e processos, controle remoto de desktop, upload/download de arquivos, acesso por webcam, keylogging, rastreamento de área de transferência, captura de tela e acesso remoto a shell.
O malware também pode carregar plugins adicionais em tempo de execução executando arquivos que ele baixou anteriormente, permitindo que ele aprimore suas funções conforme necessário. Além disso, ele foi projetado para coletar credenciais de navegadores populares da Web, como Chrome, Edge, Opera, Brave, Iridium e Vivaldi.
Pistas de infraestrutura indicam que o agente de ameaça por trás do SambaSpy pode estar expandindo operações para o Brasil e a Espanha. Várias conexões com o Brasil, como traços de idioma no código e domínios direcionados a usuários brasileiros, sugerem uma origem brasileira. Isso se encaixa em uma tendência mais ampla, onde os invasores latino-americanos geralmente visam países europeus com mercados linguisticamente semelhantes, como Itália, Espanha e Portugal.
