Zlonamerna programska oprema SambaSpy
Na novo odkrita zlonamerna programska oprema, imenovana SambaSpy, cilja posebej na uporabnike v Italiji s kampanjo lažnega predstavljanja, ki jo vodi domnevno portugalsko govoreči akter grožnje iz Brazilije. Za razliko od večine akterjev groženj, ki običajno ciljajo na široko občinstvo, da bi povečali dobiček, se zdi, da se ta skupina osredotoča izključno na Italijo. Možno je, da ta osredotočeni pristop uporabljajo kot preizkus, preden razširijo svoje dejavnosti na druge regije.
Kazalo
Napadi SambaSpy se začnejo z lažnim predstavljanjem
Napad se začne z lažnim e-poštnim sporočilom, ki dostavi priponko HTML ali vdelano povezavo, ki sproži postopek okužbe. Če se priponka HTML odpre, razkrije arhiv ZIP s programom za prenos ali kapljanje, ki razmesti in izvede večnamensko koristno obremenitev RAT.
Prenosnik pridobi zlonamerno programsko opremo z oddaljenega strežnika, medtem ko dropper ekstrahira vsebino neposredno iz arhiva in ne iz zunanjega vira.
Druga veriga okužbe, ki vključuje goljufivo povezavo, je bolj izpopolnjena. Če klikne nenamerna tarča, uporabnika preusmeri na zakonit račun, ki gostuje na FattureInCloud, in doda plast zavajanja.
Nadomestni scenarij za dostavo grožnje SambaSpy
V drugem scenariju klik na isti URL žrtev usmeri na ogrožen spletni strežnik, ki prikaže stran HTML s kodo JavaScript, ki vsebuje komentarje v brazilski portugalščini.
Ta stran uporabnike preusmeri na poškodovano povezavo OneDrive, vendar le, če uporabljajo Edge, Firefox ali Chrome z jezikom, nastavljenim na italijanščino. Če ti pogoji niso izpolnjeni, uporabniki ostanejo na isti strani. Tistim, ki uspešno opravijo preverjanje, je predstavljen dokument PDF, ki gostuje na Microsoft OneDrive, in jim naroči, naj kliknejo hiperpovezavo za ogled dokumenta. To jih pripelje do goljufive datoteke JAR na MediaFire, ki vsebuje bodisi program za prenos ali dropper, kot v prejšnjih primerih.
SambaSpy je opremljen z raznolikim naborom nevarnih zmogljivosti
SambaSpy je vsestranski trojanec za oddaljeni dostop (RAT), razvit v Javi, ki deluje kot švicarski nož za kibernetske kriminalce. Ponuja široko paleto zmogljivosti, vključno z upravljanjem datotečnega sistema in procesov, nadzorom oddaljenega namizja, nalaganjem/prenosom datotek, dostopom do spletne kamere, beleženjem tipk, sledenjem odložišča, zajemom posnetka zaslona in oddaljenim dostopom lupine.
Zlonamerna programska oprema lahko med izvajanjem naloži tudi dodatne vtičnike, tako da izvede datoteke, ki jih je predhodno prenesla, kar ji omogoči, da po potrebi izboljša svoje funkcije. Poleg tega je zasnovan za zbiranje poverilnic iz priljubljenih spletnih brskalnikov, kot so Chrome, Edge, Opera, Brave, Iridium in Vivaldi.
Infrastrukturni namigi kažejo, da grožnja, ki stoji za SambaSpy, morda širi operacije v Brazilijo in Španijo. Številne povezave z Brazilijo, kot so jezikovne sledi v kodi in domene, ki ciljajo na brazilske uporabnike, kažejo na brazilsko poreklo. To ustreza širšemu trendu, kjer latinskoameriški napadalci pogosto ciljajo na evropske države z jezikovno podobnimi trgi, kot so Italija, Španija in Portugalska.
