Malware SambaSpy
Një malware i sapo zbuluar, i quajtur SambaSpy, po synon në mënyrë specifike përdoruesit në Itali përmes një fushate phishing të udhëhequr nga një aktor i dyshuar kërcënimi që flet portugalisht nga Brazili. Ndryshe nga shumica e aktorëve kërcënues, të cilët zakonisht synojnë një audiencë të gjerë për të maksimizuar përfitimet, ky grup duket se është i përqendruar vetëm në Itali. Është e mundur që ata po përdorin këtë qasje të fokusuar si një test test përpara se të zgjerojnë aktivitetet e tyre në rajone të tjera.
Tabela e Përmbajtjes
Sulmet SambaSpy fillojnë me mesazhet e phishing
Sulmi fillon me një email phishing që jep ose një bashkëngjitje HTML ose një lidhje të integruar që shkakton procesin e infeksionit. Nëse hapet bashkëngjitja HTML, ai zbulon një arkiv ZIP me një shkarkues ose pikatore, i cili vendos dhe ekzekuton ngarkesën shumë-funksionale të RAT.
Shkarkuesi e merr malware nga një server i largët, ndërsa pikatori e nxjerr ngarkesën direkt nga arkivi dhe jo nga një burim i jashtëm.
Një zinxhir i dytë infeksioni që përfshin lidhjen mashtruese është më i sofistikuar. Nëse klikohet nga një objektiv i padëshiruar, ai e ridrejton përdoruesin në një faturë legjitime të vendosur në FattureInCloud, duke shtuar një shtresë mashtrimi.
Skenari alternativ për dorëzimin e kërcënimit të SambaSpy
Në një skenar tjetër, klikimi i së njëjtës URL e drejton viktimën në një server të komprometuar në internet që shfaq një faqe HTML me kod JavaScript që përmban komente në portugalishten braziliane.
Kjo faqe i ridrejton përdoruesit në një lidhje të dëmtuar të OneDrive, por vetëm nëse ata përdorin Edge, Firefox ose Chrome me gjuhën e tyre të caktuar në italisht. Nëse këto kushte nuk plotësohen, përdoruesit mbeten në të njëjtën faqe. Për ata që kalojnë kontrollet, prezantohet një dokument PDF i vendosur në Microsoft OneDrive, i cili i udhëzon ata të klikojnë një hiperlidhje për të parë dokumentin. Kjo i çon ata në një skedar mashtrues JAR në MediaFire, që përmban ose shkarkuesin ose pikatoren, si në rastet e mëparshme.
SambaSpy është i pajisur me një grup të larmishëm aftësish kërcënuese
SambaSpy është një Trojan i gjithanshëm me qasje në distancë (RAT) i zhvilluar në Java, që funksionon si një thikë e ushtrisë zvicerane për kriminelët kibernetikë. Ai ofron një gamë të gjerë aftësish, duke përfshirë sistemin e skedarëve dhe menaxhimin e procesit, kontrollin në distancë të desktopit, ngarkimin/shkarkimin e skedarëve, aksesin në ueb-kamerën, regjistrimin e tastierëve, ndjekjen e clipboard, kapjen e pamjeve të ekranit dhe aksesin në distancë të guaskës.
Malware mund të ngarkojë gjithashtu shtojca shtesë në kohën e ekzekutimit duke ekzekutuar skedarët që ka shkarkuar më parë, duke i mundësuar që të përmirësojë funksionet e tij sipas nevojës. Për më tepër, është krijuar për të mbledhur kredencialet nga shfletuesit e njohur të uebit si Chrome, Edge, Opera, Brave, Iridium dhe Vivaldi.
Të dhënat e infrastrukturës tregojnë se aktori i kërcënimit pas SambaSpy mund të jetë duke zgjeruar operacionet në Brazil dhe Spanjë. Disa lidhje me Brazilin, si gjurmët e gjuhës në kod dhe domenet që synojnë përdoruesit brazilianë, sugjerojnë një origjinë braziliane. Kjo i përshtatet një tendence më të gjerë ku sulmuesit e Amerikës Latine shpesh synojnë vendet evropiane me tregje të ngjashme gjuhësore, si Italia, Spanja dhe Portugalia.
