SambaSpy Malware
Новооткривени малвер, назван СамбаСпи, посебно циља кориснике у Италији кроз пхисхинг кампању коју води осумњичени актер претњи из Бразила који говори португалски. За разлику од већине актера претњи, који обично циљају на широку публику како би максимизирали добитке, чини се да се ова група концентрише искључиво на Италију. Могуће је да користе овај фокусирани приступ као пробни рад пре него што прошире своје активности на друге регионе.
Преглед садржаја
SambaSpy напади почињу са пхисхинг порукама
Напад почиње са пхисхинг е-поштом која испоручује или ХТМЛ прилог или уграђену везу која покреће процес инфекције. Ако се отвори ХТМЛ прилог, он открива ЗИП архиву са програмом за преузимање или дроппером, који поставља и извршава вишефункционални РАТ корисни терет.
Програм за преузимање преузима малвер са удаљеног сервера, док дроппер екстрахује корисни терет директно из архиве, а не из спољног извора.
Други ланац инфекције који укључује преварантску везу је софистициранији. Ако на њега кликне ненамерни циљ, преусмерава корисника на легитимну фактуру која се налази на ФаттуреИнЦлоуд-у, додајући слој обмане.
Алтернативни сценарио за испоруку SambaSpy претње
У другом сценарију, клик на исту УРЛ адресу упућује жртву на компромитовани веб сервер који приказује ХТМЛ страницу са ЈаваСцрипт кодом који садржи коментаре на бразилском португалском.
Ова страница преусмерава кориснике на оштећену ОнеДриве везу, али само ако користе Едге, Фирефок или Цхроме са језиком постављеним на италијански. Ако ови услови нису испуњени, корисници остају на истој страници. За оне који прођу провере, представљен је ПДФ документ који се налази на Мицрософт ОнеДриве-у, који им даје упутства да кликну на хипервезу да би видели документ. Ово их доводи до лажне ЈАР датотеке на МедиаФире-у, која садржи или програм за преузимање или дроппер, као у претходним случајевима.
SambaSpy је опремљен разноликим скупом претећих могућности
СамбаСпи је свестрани тројанац за даљински приступ (РАТ) развијен у Јави, који функционише као швајцарски војни нож за сајбер криминалце. Нуди широк спектар могућности, укључујући управљање системом датотека и процесима, управљање удаљеном радном површином, отпремање/преузимање датотека, приступ веб камери, кеилоггинг, праћење међуспремника, снимање екрана и даљински приступ љусци.
Злонамерни софтвер такође може да учита додатне додатке током извршавања извршавањем датотека које је претходно преузео, омогућавајући му да побољша своје функције по потреби. Штавише, дизајниран је за прикупљање акредитива из популарних веб прегледача као што су Цхроме, Едге, Опера, Браве, Иридиум и Вивалди.
Инфраструктурни трагови указују на то да актер претње иза СамбаСпи-ја можда шири операције на Бразил и Шпанију. Неколико веза са Бразилом, као што су језички трагови у коду и домени који циљају бразилске кориснике, сугеришу бразилско порекло. Ово се уклапа у шири тренд у којем нападачи из Латинске Америке често циљају европске земље са лингвистички сличним тржиштима, као што су Италија, Шпанија и Португал.
