SambaSpy Kötü Amaçlı Yazılım
SambaSpy olarak adlandırılan yeni keşfedilen bir kötü amaçlı yazılım, Brezilya'dan Portekizce konuşan şüpheli bir tehdit aktörü tarafından yönetilen bir kimlik avı kampanyası aracılığıyla özellikle İtalya'daki kullanıcıları hedef alıyor. Genellikle kazançlarını maksimize etmek için geniş bir kitleyi hedefleyen çoğu tehdit aktörü aksine, bu grup yalnızca İtalya'ya odaklanmış gibi görünüyor. Faaliyetlerini diğer bölgelere genişletmeden önce bu odaklanmış yaklaşımı bir test çalışması olarak kullanıyor olmaları mümkün.
İçindekiler
SambaSpy Saldırıları Kimlik Avı Mesajlarıyla Başlıyor
Saldırı, enfeksiyon sürecini tetikleyen bir HTML eki veya gömülü bir bağlantı gönderen bir kimlik avı e-postasıyla başlar. HTML eki açılırsa, çok işlevli RAT yükünü dağıtan ve yürüten bir indirici veya damlatıcı içeren bir ZIP arşivi ortaya çıkarır.
İndirici, kötü amaçlı yazılımı uzak bir sunucudan alırken, damlatıcı, yükü harici bir kaynaktan ziyade doğrudan arşivden çıkarır.
Sahte bağlantıyı içeren ikinci bir enfeksiyon zinciri daha karmaşıktır. İstenmeyen bir hedef tarafından tıklanırsa, kullanıcıyı FattureInCloud'da barındırılan meşru bir faturaya yönlendirir ve bir aldatma katmanı ekler.
SambaSpy Tehditinin İletimi İçin Alternatif Senaryo
Başka bir senaryoda, aynı URL'ye tıklandığında kurban, Brezilya Portekizcesi yorumlar içeren JavaScript kodlu bir HTML sayfasının görüntülendiği, tehlikeye atılmış bir Web sunucusuna yönlendiriliyor.
Bu sayfa kullanıcıları bozuk bir OneDrive bağlantısına yönlendirir, ancak yalnızca dilleri İtalyanca olarak ayarlanmış Edge, Firefox veya Chrome kullanıyorlarsa. Bu koşullar karşılanmazsa, kullanıcılar aynı sayfada kalır. Kontrolleri geçenler için, Microsoft OneDrive'da barındırılan bir PDF belgesi sunulur ve belgeyi görüntülemek için bir köprüye tıklamaları talimatı verilir. Bu, onları önceki durumlarda olduğu gibi, indiriciyi veya damlatıcıyı içeren MediaFire'daki sahte bir JAR dosyasına yönlendirir.
SambaSpy Çeşitli Tehdit Yetenekleriyle Donatılmıştır
SambaSpy, siber suçlular için İsviçre çakısı gibi çalışan, Java'da geliştirilmiş çok yönlü bir Uzaktan Erişim Truva Atı'dır (RAT). Dosya sistemi ve işlem yönetimi, uzak masaüstü kontrolü, dosya yükleme/indirme, web kamerası erişimi, tuş kaydı, pano izleme, ekran görüntüsü yakalama ve uzaktan kabuk erişimi dahil olmak üzere çok çeşitli yetenekler sunar.
Kötü amaçlı yazılım ayrıca daha önce indirdiği dosyaları çalıştırarak çalışma zamanında ek eklentiler yükleyebilir ve bu sayede işlevlerini gerektiği gibi geliştirebilir. Dahası, Chrome, Edge, Opera, Brave, Iridium ve Vivaldi gibi popüler Web tarayıcılarından kimlik bilgilerini toplamak için tasarlanmıştır.
Altyapı ipuçları, SambaSpy'ın arkasındaki tehdit aktörünün operasyonlarını Brezilya ve İspanya'ya genişletiyor olabileceğini gösteriyor. Koddaki dil izleri ve Brezilyalı kullanıcıları hedefleyen etki alanları gibi Brezilya ile olan çeşitli bağlantılar, Brezilya kökenli olduğunu gösteriyor. Bu, Latin Amerikalı saldırganların genellikle İtalya, İspanya ve Portekiz gibi dilsel olarak benzer pazarlara sahip Avrupa ülkelerini hedef aldığı daha geniş bir eğilime uyuyor.
