SambaSpy skadlig programvara
En nyupptäckt skadlig programvara, kallad SambaSpy, riktar sig specifikt till användare i Italien genom en nätfiskekampanj ledd av en misstänkt portugisisktalande hotaktör från Brasilien. Till skillnad från de flesta hotaktörer, som vanligtvis siktar på en bred publik för att maximera vinsterna, verkar denna grupp enbart koncentrera sig på Italien. Det är möjligt att de använder detta fokuserade tillvägagångssätt som en testkörning innan de utökar sin verksamhet till andra regioner.
Innehållsförteckning
SambaSpy-attacker börjar med nätfiskemeddelanden
Attacken börjar med ett nätfiske-e-postmeddelande som levererar antingen en HTML-bilaga eller en inbäddad länk som utlöser infektionsprocessen. Om HTML-bilagan öppnas avslöjar den ett ZIP-arkiv med en nedladdare eller dropper, som distribuerar och kör den multifunktionella RAT-nyttolasten.
Nedladdaren hämtar skadlig programvara från en fjärrserver, medan dropparen extraherar nyttolasten direkt från arkivet snarare än en extern källa.
En andra infektionskedja som involverar den bedrägliga länken är mer sofistikerad. Om den klickas av ett oavsiktligt mål omdirigerar den användaren till en legitim faktura som finns på FattureInCloud, vilket lägger till ett lager av bedrägeri.
Alternativt scenario för leveransen av SambaSpy-hotet
I ett annat scenario leder ett klickande på samma URL offret till en intrång på webbservern som visar en HTML-sida med JavaScript-kod som innehåller kommentarer på brasiliansk portugisiska.
Den här sidan omdirigerar användare till en skadad OneDrive-länk, men bara om de använder Edge, Firefox eller Chrome med språket inställt på italienska. Om dessa villkor inte uppfylls förblir användarna på samma sida. För dem som klarar kontrollerna presenteras ett PDF-dokument som finns på Microsoft OneDrive som instruerar dem att klicka på en hyperlänk för att se dokumentet. Detta leder dem till en bedräglig JAR-fil på MediaFire, som innehåller antingen nedladdaren eller dropparen, som i de tidigare fallen.
SambaSpy är utrustad med en mängd olika hotfulla funktioner
SambaSpy är en mångsidig Remote Access Trojan (RAT) utvecklad i Java och fungerar som en schweizisk armékniv för cyberkriminella. Den erbjuder ett brett utbud av funktioner, inklusive filsystem och processhantering, fjärrstyrning av skrivbordet, filuppladdning/nedladdning, webbkameraåtkomst, tangentloggning, spårning av urklipp, skärmdump och fjärråtkomst till skal.
Skadlig programvara kan också ladda ytterligare plugins under körning genom att köra filer som den tidigare laddat ner, vilket gör att den kan förbättra sina funktioner efter behov. Dessutom är den designad för att hämta referenser från populära webbläsare som Chrome, Edge, Opera, Brave, Iridium och Vivaldi.
Infrastrukturledtrådar indikerar att hotaktören bakom SambaSpy kan utöka verksamheten till Brasilien och Spanien. Flera kopplingar till Brasilien, som språkspår i koden och domäner som riktar sig till brasilianska användare, tyder på ett brasilianskt ursprung. Detta passar en bredare trend där latinamerikanska angripare ofta riktar sig mot europeiska länder med språkligt likartade marknader, som Italien, Spanien och Portugal.
