Вредоносное ПО SambaSpy
Недавно обнаруженное вредоносное ПО, получившее название SambaSpy, нацелено специально на пользователей в Италии с помощью фишинговой кампании, которую ведет предполагаемый португалоговорящий злоумышленник из Бразилии. В отличие от большинства злоумышленников, которые обычно нацелены на широкую аудиторию, чтобы максимизировать прибыль, эта группа, похоже, сосредоточена исключительно на Италии. Возможно, они используют этот целенаправленный подход в качестве теста перед тем, как распространить свою деятельность на другие регионы.
Оглавление
Атаки SambaSpy начинаются с фишинговых сообщений
Атака начинается с фишингового письма, доставляющего либо HTML-вложение, либо встроенную ссылку, которая запускает процесс заражения. Если HTML-вложение открыть, оно показывает ZIP-архив с загрузчиком или дроппером, который развертывает и выполняет многофункциональную полезную нагрузку RAT.
Загрузчик извлекает вредоносное ПО с удаленного сервера, в то время как дроппер извлекает полезную нагрузку непосредственно из архива, а не из внешнего источника.
Вторая цепочка заражения, включающая мошенническую ссылку, более сложна. Если на нее нажимает непреднамеренная цель, она перенаправляет пользователя на законный счет, размещенный на FattureInCloud, добавляя уровень обмана.
Альтернативный сценарий доставки угрозы SambaSpy
В другом сценарии нажатие на тот же URL-адрес перенаправляет жертву на взломанный веб-сервер, который отображает HTML-страницу с кодом JavaScript, содержащим комментарии на бразильском португальском языке.
Эта страница перенаправляет пользователей на поврежденную ссылку OneDrive, но только если они используют Edge, Firefox или Chrome с установленным итальянским языком. Если эти условия не выполняются, пользователи остаются на той же странице. Тем, кто проходит проверку, предоставляется PDF-документ, размещенный на Microsoft OneDrive, с инструкцией щелкнуть гиперссылку для просмотра документа. Это приводит их к мошенническому JAR-файлу на MediaFire, содержащему либо загрузчик, либо дроппер, как и в предыдущих случаях.
SambaSpy оснащен разнообразным набором угрожающих возможностей
SambaSpy — это универсальный троян удаленного доступа (RAT), разработанный на Java, функционирующий как швейцарский армейский нож для киберпреступников. Он предлагает широкий спектр возможностей, включая управление файловой системой и процессами, удаленный контроль рабочего стола, загрузку/выгрузку файлов, доступ к веб-камере, кейлоггерство, отслеживание буфера обмена, захват скриншотов и удаленный доступ к оболочке.
Вредоносная программа также может загружать дополнительные плагины во время выполнения, выполняя файлы, которые она ранее скачала, что позволяет ей улучшать свои функции по мере необходимости. Более того, она предназначена для сбора учетных данных из популярных веб-браузеров, таких как Chrome, Edge, Opera, Brave, Iridium и Vivaldi.
Подсказки инфраструктуры указывают на то, что злоумышленник, стоящий за SambaSpy, может расширять операции на Бразилию и Испанию. Несколько связей с Бразилией, такие как языковые следы в коде и домены, нацеленные на бразильских пользователей, предполагают бразильское происхождение. Это соответствует более широкой тенденции, когда латиноамериканские злоумышленники часто нацелены на европейские страны с лингвистически схожими рынками, такими как Италия, Испания и Португалия.
