Шкідливе програмне забезпечення SambaSpy
Нещодавно виявлена шкідлива програма під назвою SambaSpy спеціально націлена на користувачів в Італії за допомогою фішингової кампанії, яку очолює підозрюваний португаломовний загрозливий актор із Бразилії. На відміну від більшості загрозливих акторів, які зазвичай націлені на широку аудиторію, щоб максимізувати вигоди, ця група, схоже, зосереджена виключно на Італії. Цілком можливо, що вони використовують цей цілеспрямований підхід як тестовий запуск перед тим, як поширити свою діяльність на інші регіони.
Зміст
Атаки SambaSpy починаються з фішингових повідомлень
Атака починається з фішингового електронного листа, який доставляє або вкладення HTML, або вбудоване посилання, яке запускає процес зараження. Якщо відкрити HTML-додаток, він відкриває ZIP-архів із завантажувачем або дроппером, який розгортає та виконує багатофункціональне корисне навантаження RAT.
Завантажувач отримує зловмисне програмне забезпечення з віддаленого сервера, тоді як дроппер витягує корисне навантаження безпосередньо з архіву, а не із зовнішнього джерела.
Другий ланцюг зараження, що включає шахрайську ланку, є більш складним. Якщо ненавмисно натиснути на нього, користувач перенаправляється на законний рахунок-фактуру, розміщений на FattureInCloud, додаючи рівень обману.
Альтернативний сценарій доставки загрози SambaSpy
В іншому сценарії клацання тієї самої URL-адреси спрямовує жертву на скомпрометований веб-сервер, який відображає HTML-сторінку з кодом JavaScript, що містить коментарі бразильською португальською мовою.
Ця сторінка перенаправляє користувачів на пошкоджене посилання OneDrive, але лише якщо вони використовують Edge, Firefox або Chrome, для яких мова вибрана на італійську. Якщо ці умови не виконуються, користувачі залишаються на тій самій сторінці. Для тих, хто пройшов перевірку, представлений PDF-документ, розміщений на Microsoft OneDrive, з інструкцією натиснути гіперпосилання, щоб переглянути документ. Це приводить їх до шахрайського файлу JAR на MediaFire, який містить або завантажувач, або дроппер, як у попередніх випадках.
SambaSpy оснащено різноманітним набором загрозливих можливостей
SambaSpy — це універсальний троян віддаленого доступу (RAT), розроблений на Java, функціонуючий як швейцарський армійський ніж для кіберзлочинців. Він пропонує широкий спектр можливостей, включаючи керування файловою системою та процесами, віддалене керування робочим столом, завантаження/завантаження файлів, доступ до веб-камери, клавіатурні журнали, відстеження буфера обміну, захоплення знімків екрана та віддалений доступ до оболонки.
Зловмисне програмне забезпечення також може завантажувати додаткові плагіни під час виконання, виконуючи раніше завантажені файли, дозволяючи покращувати свої функції за потреби. Крім того, він призначений для збору облікових даних із популярних веб-браузерів, таких як Chrome, Edge, Opera, Brave, Iridium і Vivaldi.
Інфраструктурні підказки вказують на те, що загроза, що стоїть за SambaSpy, може розширювати діяльність до Бразилії та Іспанії. Кілька зв’язків із Бразилією, як-от сліди мови в коді та домени, націлені на бразильських користувачів, свідчать про бразильське походження. Це відповідає ширшій тенденції, коли зловмисники з Латинської Америки часто націлюються на європейські країни з подібними лінгвістично ринками, як-от Італія, Іспанія та Португалія.
