มัลแวร์ SambaSpy
มัลแวร์ที่เพิ่งค้นพบใหม่ซึ่งมีชื่อว่า SambaSpy กำลังกำหนดเป้าหมายผู้ใช้ในอิตาลีโดยเฉพาะผ่านแคมเปญฟิชชิ่งซึ่งนำโดยผู้ต้องสงสัยว่าเป็นผู้ก่อภัยคุกคามที่พูดภาษาโปรตุเกสจากบราซิล ซึ่งแตกต่างจากผู้ก่อภัยคุกคามส่วนใหญ่ที่มักมุ่งเป้าไปที่กลุ่มเป้าหมายจำนวนมากเพื่อให้ได้ประโยชน์สูงสุด กลุ่มนี้ดูเหมือนจะมุ่งเป้าไปที่อิตาลีเท่านั้น เป็นไปได้ว่าพวกเขากำลังใช้แนวทางที่มุ่งเน้นเฉพาะนี้เพื่อทดลองใช้ก่อนที่จะขยายกิจกรรมไปยังภูมิภาคอื่นๆ
สารบัญ
การโจมตี SambaSpy เริ่มต้นด้วยข้อความฟิชชิ่ง
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ส่งไฟล์แนบ HTML หรือลิงก์ที่ฝังไว้เพื่อกระตุ้นกระบวนการติดเชื้อ หากเปิดไฟล์แนบ HTML ไฟล์ดังกล่าวจะเปิดเผยไฟล์ ZIP ที่มีตัวดาวน์โหลดหรือดรอปเปอร์ ซึ่งจะใช้งานและเรียกใช้เพย์โหลด RAT แบบมัลติฟังก์ชัน
ตัวดาวน์โหลดจะดึงมัลแวร์จากเซิร์ฟเวอร์ระยะไกล ในขณะที่ดรอปเปอร์จะดึงข้อมูลมาจากไฟล์เก็บถาวรโดยตรง แทนที่จะดึงมาจากแหล่งภายนอก
ห่วงโซ่การติดเชื้อที่สองซึ่งเกี่ยวข้องกับลิงก์หลอกลวงนั้นซับซ้อนกว่ามาก หากคลิกโดยเป้าหมายที่ไม่ได้ตั้งใจ ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังใบแจ้งหนี้ที่ถูกต้องตามกฎหมายซึ่งโฮสต์อยู่บน FattureInCloud ซึ่งเพิ่มชั้นของการหลอกลวง
สถานการณ์ทางเลือกสำหรับการส่งมอบภัยคุกคาม SambaSpy
ในสถานการณ์อื่น การคลิก URL เดียวกันจะนำเหยื่อไปยังเว็บเซิร์ฟเวอร์ที่ถูกบุกรุกซึ่งแสดงหน้า HTML พร้อมด้วยโค้ด JavaScript ที่มีข้อคิดเห็นเป็นภาษาโปรตุเกสแบบบราซิล
หน้านี้จะนำผู้ใช้ไปยังลิงก์ OneDrive ที่เสียหาย แต่เฉพาะในกรณีที่ผู้ใช้ใช้ Edge, Firefox หรือ Chrome โดยตั้งค่าภาษาเป็นภาษาอิตาลี หากไม่เป็นไปตามเงื่อนไขเหล่านี้ ผู้ใช้จะยังคงอยู่ในหน้าเดียวกัน สำหรับผู้ที่ผ่านการตรวจสอบแล้ว จะมีการนำเสนอเอกสาร PDF ที่โฮสต์บน Microsoft OneDrive พร้อมคำแนะนำให้ผู้ใช้คลิกไฮเปอร์ลิงก์เพื่อดูเอกสาร ซึ่งจะทำให้ผู้ใช้ไปยังไฟล์ JAR ปลอมบน MediaFire ซึ่งมีตัวดาวน์โหลดหรือตัวดึงข้อมูล เช่นเดียวกับกรณีที่ผ่านมา
SambaSpy มาพร้อมกับความสามารถในการคุกคามที่หลากหลาย
SambaSpy เป็น Remote Access Trojan (RAT) อเนกประสงค์ที่พัฒนาใน Java ซึ่งทำหน้าที่เหมือนมีดพกสวิสสำหรับอาชญากรไซเบอร์ โดยมีคุณสมบัติมากมาย เช่น ระบบไฟล์และการจัดการกระบวนการ การควบคุมเดสก์ท็อประยะไกล การอัปโหลด/ดาวน์โหลดไฟล์ การเข้าถึงเว็บแคม การบันทึกแป้นพิมพ์ การติดตามคลิปบอร์ด การจับภาพหน้าจอ และการเข้าถึงเชลล์ระยะไกล
นอกจากนี้ มัลแวร์ยังสามารถโหลดปลั๊กอินเพิ่มเติมได้ในขณะรันไทม์โดยเรียกใช้ไฟล์ที่ดาวน์โหลดมาก่อนหน้านี้ ทำให้สามารถปรับปรุงฟังก์ชันต่างๆ ตามต้องการ นอกจากนี้ ยังออกแบบมาเพื่อรวบรวมข้อมูลประจำตัวจากเว็บเบราว์เซอร์ยอดนิยม เช่น Chrome, Edge, Opera, Brave, Iridium และ Vivaldi
เบาะแสด้านโครงสร้างพื้นฐานบ่งชี้ว่าผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง SambaSpy อาจกำลังขยายการปฏิบัติการไปยังบราซิลและสเปน การเชื่อมต่อกับบราซิลหลายรายการ เช่น ร่องรอยภาษาในโค้ดและโดเมนที่กำหนดเป้าหมายไปที่ผู้ใช้ในบราซิล แสดงให้เห็นว่ามีต้นกำเนิดมาจากบราซิล ซึ่งสอดคล้องกับแนวโน้มที่กว้างขึ้นที่ผู้โจมตีในละตินอเมริกามักจะกำหนดเป้าหมายไปที่ประเทศในยุโรปที่มีตลาดที่คล้ายคลึงกันทางภาษา เช่น อิตาลี สเปน และโปรตุเกส
