Phần mềm độc hại SambaSpy
Một phần mềm độc hại mới được phát hiện, có tên là SambaSpy, đang nhắm mục tiêu cụ thể đến người dùng ở Ý thông qua một chiến dịch lừa đảo do một tác nhân đe dọa nói tiếng Bồ Đào Nha bị tình nghi đến từ Brazil cầm đầu. Không giống như hầu hết các tác nhân đe dọa, những kẻ thường nhắm đến đối tượng rộng rãi để tối đa hóa lợi nhuận, nhóm này dường như chỉ tập trung vào Ý. Có khả năng chúng đang sử dụng cách tiếp cận tập trung này như một lần chạy thử trước khi mở rộng hoạt động sang các khu vực khác.
Mục lục
Các cuộc tấn công của SambaSpy bắt đầu bằng tin nhắn lừa đảo
Cuộc tấn công bắt đầu bằng một email lừa đảo gửi tệp đính kèm HTML hoặc liên kết nhúng kích hoạt quá trình lây nhiễm. Nếu tệp đính kèm HTML được mở, nó sẽ hiển thị một tệp ZIP có trình tải xuống hoặc trình thả, triển khai và thực thi tải trọng RAT đa chức năng.
Trình tải xuống sẽ lấy phần mềm độc hại từ máy chủ từ xa, trong khi trình thả sẽ trích xuất phần mềm độc hại trực tiếp từ kho lưu trữ thay vì nguồn bên ngoài.
Chuỗi lây nhiễm thứ hai liên quan đến liên kết gian lận phức tạp hơn. Nếu được một mục tiêu không mong muốn nhấp vào, nó sẽ chuyển hướng người dùng đến một hóa đơn hợp pháp được lưu trữ trên FattureInCloud, thêm một lớp lừa dối.
Kịch bản thay thế cho việc phân phối mối đe dọa SambaSpy
Trong một tình huống khác, khi nhấp vào cùng một URL, nạn nhân sẽ được chuyển hướng đến một máy chủ web bị xâm phạm, hiển thị một trang HTML có mã JavaScript chứa các bình luận bằng tiếng Bồ Đào Nha Brazil.
Trang này chuyển hướng người dùng đến một liên kết OneDrive bị hỏng, nhưng chỉ khi họ đang sử dụng Edge, Firefox hoặc Chrome với ngôn ngữ được đặt thành tiếng Ý. Nếu các điều kiện này không được đáp ứng, người dùng vẫn ở trên cùng một trang. Đối với những người vượt qua các kiểm tra, một tài liệu PDF được lưu trữ trên Microsoft OneDrive sẽ được hiển thị, hướng dẫn họ nhấp vào một siêu liên kết để xem tài liệu. Điều này dẫn họ đến một tệp JAR gian lận trên MediaFire, chứa trình tải xuống hoặc trình thả, như trong các trường hợp trước.
SambaSpy được trang bị một bộ khả năng đe dọa đa dạng
SambaSpy là một Trojan truy cập từ xa (RAT) đa năng được phát triển bằng Java, hoạt động như một con dao đa năng của Quân đội Thụy Sĩ đối với tội phạm mạng. Nó cung cấp nhiều khả năng, bao gồm quản lý hệ thống tệp và quy trình, điều khiển máy tính từ xa, tải lên/tải xuống tệp, truy cập webcam, ghi lại phím, theo dõi clipboard, chụp ảnh màn hình và truy cập shell từ xa.
Phần mềm độc hại cũng có thể tải thêm các plugin khi chạy bằng cách thực thi các tệp đã tải xuống trước đó, cho phép nó tăng cường chức năng khi cần. Hơn nữa, nó được thiết kế để thu thập thông tin đăng nhập từ các trình duyệt web phổ biến như Chrome, Edge, Opera, Brave, Iridium và Vivaldi.
Các manh mối về cơ sở hạ tầng cho thấy rằng tác nhân đe dọa đằng sau SambaSpy có thể đang mở rộng hoạt động sang Brazil và Tây Ban Nha. Một số kết nối đến Brazil, chẳng hạn như dấu vết ngôn ngữ trong mã và tên miền nhắm mục tiêu đến người dùng Brazil, cho thấy nguồn gốc Brazil. Điều này phù hợp với xu hướng rộng hơn khi những kẻ tấn công ở Mỹ Latinh thường nhắm mục tiêu đến các quốc gia châu Âu có thị trường ngôn ngữ tương tự, chẳng hạn như Ý, Tây Ban Nha và Bồ Đào Nha.
