Malware SambaSpy
Un malware recent descoperit, denumit SambaSpy, vizează în mod special utilizatorii din Italia printr-o campanie de phishing condusă de un presupus actor de amenințare vorbitor de portugheză din Brazilia. Spre deosebire de majoritatea actorilor de amenințări, care vizează de obicei un public larg pentru a maximiza câștigurile, acest grup pare să se concentreze exclusiv pe Italia. Este posibil ca aceștia să folosească această abordare concentrată ca un test înainte de a-și extinde activitățile în alte regiuni.
Cuprins
Atacurile SambaSpy încep cu mesaje de phishing
Atacul începe cu un e-mail de phishing care oferă fie un atașament HTML, fie un link încorporat care declanșează procesul de infecție. Dacă atașamentul HTML este deschis, acesta dezvăluie o arhivă ZIP cu un descărcator sau dropper, care implementează și execută sarcina utilă multifuncțională RAT.
Descărcătorul preia malware-ul de pe un server la distanță, în timp ce dropper-ul extrage încărcătura utilă direct din arhivă, mai degrabă decât dintr-o sursă externă.
Un al doilea lanț de infecție care implică veriga frauduloasă este mai sofisticat. Dacă faceți clic pe o țintă neintenționată, acesta redirecționează utilizatorul către o factură legitimă găzduită pe FattureInCloud, adăugând un strat de înșelăciune.
Scenariu alternativ pentru livrarea amenințării SambaSpy
Într-un alt scenariu, făcând clic pe aceeași adresă URL direcționează victima către un server web compromis care afișează o pagină HTML cu cod JavaScript care conține comentarii în portugheză braziliană.
Această pagină redirecționează utilizatorii către un link OneDrive corupt, dar numai dacă folosesc Edge, Firefox sau Chrome cu limba setată la italiană. Dacă aceste condiții nu sunt îndeplinite, utilizatorii rămân pe aceeași pagină. Pentru cei care trec verificările, este prezentat un document PDF găzduit pe Microsoft OneDrive, solicitându-le să facă clic pe un hyperlink pentru a vizualiza documentul. Acest lucru îi duce la un fișier JAR fraudulos pe MediaFire, care conține fie descărcatorul, fie dropperul, ca în cazurile anterioare.
SambaSpy este echipat cu un set divers de capabilități amenințătoare
SambaSpy este un troian versatil pentru acces la distanță (RAT) dezvoltat în Java, funcționând ca un cuțit elvețian pentru infractorii cibernetici. Oferă o gamă largă de capabilități, inclusiv gestionarea sistemului de fișiere și a proceselor, control de la distanță pe desktop, încărcare/descărcare de fișiere, acces la webcam, înregistrarea tastelor, urmărirea clipboard-ului, capturarea capturii de ecran și acces la shell de la distanță.
Malware-ul poate încărca, de asemenea, pluginuri suplimentare în timpul execuției prin executarea fișierelor pe care le-a descărcat anterior, permițându-i să-și îmbunătățească funcțiile după cum este necesar. În plus, este conceput pentru a colecta acreditări de la browsere web populare precum Chrome, Edge, Opera, Brave, Iridium și Vivaldi.
Indicii de infrastructură indică faptul că actorul amenințării din spatele SambaSpy ar putea extinde operațiunile în Brazilia și Spania. Mai multe conexiuni cu Brazilia, cum ar fi urmele de limbă din cod și domeniile care vizează utilizatorii brazilieni, sugerează o origine braziliană. Acest lucru se potrivește unei tendințe mai ample în care atacatorii din America Latină vizează adesea țări europene cu piețe similare din punct de vedere lingvistic, cum ar fi Italia, Spania și Portugalia.
