SambaSpy Malware
Novoobjavený malvér s názvom SambaSpy sa špecificky zameriava na používateľov v Taliansku prostredníctvom phishingovej kampane vedenej podozrivým portugalsky hovoriacim aktérom hrozby z Brazílie. Na rozdiel od väčšiny aktérov hroziacich, ktorí sa zvyčajne zameriavajú na široké publikum s cieľom maximalizovať zisky, sa zdá, že táto skupina sa sústreďuje výlučne na Taliansko. Je možné, že tento cielený prístup používajú ako skúšobnú prevádzku pred rozšírením svojich aktivít do iných regiónov.
Obsah
SambaSpy útoky začínajú správami phishing
Útok začína phishingovým e-mailom, ktorý doručí buď prílohu HTML, alebo vložený odkaz, ktorý spustí proces infekcie. Ak sa otvorí príloha HTML, zobrazí sa archív ZIP s programom na sťahovanie alebo dropper, ktorý nasadí a spustí multifunkčné užitočné zaťaženie RAT.
Downloader načíta malvér zo vzdialeného servera, zatiaľ čo dropper extrahuje obsah priamo z archívu a nie z externého zdroja.
Druhý infekčný reťazec zahŕňajúci podvodný odkaz je sofistikovanejší. Ak naň klikne neúmyselný cieľ, presmeruje používateľa na legitímnu faktúru hostenú na FattureInCloud, čím pridá vrstvu podvodu.
Alternatívny scenár pre doručenie hrozby SambaSpy
V inom scenári kliknutie na rovnakú adresu URL nasmeruje obeť na napadnutý webový server, ktorý zobrazí stránku HTML s kódom JavaScript s komentármi v brazílskej portugalčine.
Táto stránka presmeruje používateľov na poškodený odkaz na OneDrive, ale iba ak používajú Edge, Firefox alebo Chrome s jazykom nastaveným na taliančinu. Ak tieto podmienky nie sú splnené, používatelia zostanú na tej istej stránke. Pre tých, ktorí prejdú kontrolami, sa zobrazí dokument PDF hostený v službe Microsoft OneDrive s pokynmi, aby klikli na hypertextový odkaz, aby si dokument zobrazili. To ich vedie k podvodnému súboru JAR na MediaFire, ktorý obsahuje buď downloader alebo dropper, ako v predchádzajúcich prípadoch.
SambaSpy je vybavený rozmanitou sadou hrozivých schopností
SambaSpy je všestranný trójsky kôň so vzdialeným prístupom (RAT) vyvinutý v jazyku Java, ktorý funguje ako švajčiarsky armádny nôž pre kyberzločincov. Ponúka širokú škálu možností vrátane správy súborového systému a procesov, ovládania vzdialenej pracovnej plochy, nahrávania/sťahovania súborov, prístupu k webovej kamere, keyloggingu, sledovania schránky, snímania obrazovky a vzdialeného prístupu k shellu.
Malvér môže tiež načítať ďalšie doplnky za behu spustením súborov, ktoré predtým stiahol, čo mu umožňuje podľa potreby vylepšovať jeho funkcie. Navyše je navrhnutý tak, aby zbieral prihlasovacie údaje z obľúbených webových prehliadačov ako Chrome, Edge, Opera, Brave, Iridium a Vivaldi.
Infraštruktúrne stopy naznačujú, že hrozba, ktorá stojí za SambaSpy, môže rozširovať svoje operácie do Brazílie a Španielska. Niekoľko spojení s Brazíliou, ako sú jazykové stopy v kóde a domény zacielené na brazílskych používateľov, naznačujú brazílsky pôvod. To zodpovedá širšiemu trendu, keď sa útočníci z Latinskej Ameriky často zameriavajú na európske krajiny s jazykovo podobnými trhmi, ako sú Taliansko, Španielsko a Portugalsko.
