SambaSpy Malware
Ang isang bagong natuklasang malware, na tinawag na SambaSpy, ay partikular na nagta-target ng mga user sa Italy sa pamamagitan ng isang phishing campaign na pinamumunuan ng isang pinaghihinalaang banta na nagsasalita ng Portuguese mula sa Brazil. Hindi tulad ng karamihan sa mga banta na aktor, na karaniwang naglalayon para sa isang malawak na madla na i-maximize ang mga nadagdag, ang grupong ito ay lumilitaw na nakatuon lamang sa Italya. Posibleng ginagamit nila ang nakatutok na diskarte na ito bilang isang pagsubok bago palawigin ang kanilang mga aktibidad sa ibang mga rehiyon.
Talaan ng mga Nilalaman
Ang Mga Pag-atake ng SambaSpy ay Nagsisimula sa Mga Mensahe sa Phishing
Ang pag-atake ay nagsisimula sa isang phishing na email na naghahatid ng alinman sa HTML attachment o isang naka-embed na link na nagti-trigger sa proseso ng impeksyon. Kung bubuksan ang HTML attachment, magpapakita ito ng ZIP archive na may downloader o dropper, na nagde-deploy at nagpapatupad ng multi-functional na RAT payload.
Kinukuha ng downloader ang malware mula sa isang malayuang server, habang kinukuha ng dropper ang payload nang direkta mula sa archive sa halip na isang panlabas na pinagmulan.
Ang pangalawang chain ng impeksyon na kinasasangkutan ng mapanlinlang na link ay mas sopistikado. Kung na-click ng hindi sinasadyang target, ire-redirect nito ang user sa isang lehitimong invoice na naka-host sa FattureInCloud, na nagdaragdag ng layer ng panlilinlang.
Kahaliling Sitwasyon para sa Paghahatid ng SambaSpy Threat
Sa isa pang senaryo, ang pag-click sa parehong URL ay nagdidirekta sa biktima sa isang nakompromisong Web server na nagpapakita ng isang HTML na pahina na may JavaScript code na naglalaman ng mga komento sa Brazilian Portuguese.
Nire-redirect ng page na ito ang mga user sa isang sirang link ng OneDrive, ngunit kung gumagamit lang sila ng Edge, Firefox o Chrome na nakatakda ang kanilang wika sa Italian. Kung ang mga kundisyong ito ay hindi matugunan, ang mga gumagamit ay mananatili sa parehong pahina. Para sa mga pumasa sa mga tseke, isang PDF na dokumento na naka-host sa Microsoft OneDrive ay ipinakita, na nagtuturo sa kanila na mag-click sa isang hyperlink upang tingnan ang dokumento. Ito ay humahantong sa kanila sa isang mapanlinlang na JAR file sa MediaFire, na naglalaman ng alinman sa downloader o dropper, tulad ng sa mga nakaraang kaso.
Ang SambaSpy ay Nilagyan ng Iba't ibang Hanay ng Mga Kakayahang Pagbabanta
Ang SambaSpy ay isang versatile na Remote Access Trojan (RAT) na binuo sa Java, na gumagana tulad ng Swiss Army na kutsilyo para sa mga cybercriminal. Nag-aalok ito ng malawak na hanay ng mga kakayahan, kabilang ang file system at pamamahala ng proseso, remote desktop control, pag-upload/pag-download ng file, access sa webcam, keylogging, pagsubaybay sa clipboard, pagkuha ng screenshot, at remote shell access.
Ang malware ay maaari ring mag-load ng mga karagdagang plugin sa runtime sa pamamagitan ng pag-execute ng mga file na dati nitong na-download, na nagbibigay-daan dito upang mapahusay ang mga function nito kung kinakailangan. Bukod dito, idinisenyo ito upang mag-harvest ng mga kredensyal mula sa mga sikat na Web browser tulad ng Chrome, Edge, Opera, Brave, Iridium at Vivaldi.
Ang mga pahiwatig sa imprastraktura ay nagpapahiwatig na ang banta ng aktor sa likod ng SambaSpy ay maaaring nagpapalawak ng mga operasyon sa Brazil at Spain. Ilang koneksyon sa Brazil, gaya ng mga bakas ng wika sa code at mga domain na nagta-target sa mga user ng Brazil, ay nagmumungkahi ng pinagmulang Brazilian. Ito ay umaangkop sa isang mas malawak na trend kung saan ang mga umaatake sa Latin America ay madalas na nagta-target sa mga bansang Europeo na may mga market na katulad ng wika, gaya ng Italy, Spain at Portugal.
