SambaSpy 恶意软件

一种新发现的恶意软件，称为 SambaSpy，专门针对意大利用户，通过由来自巴西的一名疑似讲葡萄牙语的威胁行为者领导的网络钓鱼活动。与大多数威胁行为者不同，这些威胁行为者通常瞄准广泛的受众以最大化收益，而这个组织似乎只专注于意大利。他们可能正在将这种集中方法作为试运行，然后再将活动扩展到其他地区。

SambaSpy 攻击始于网络钓鱼消息

攻击始于一封钓鱼电子邮件，该邮件会发送 HTML 附件或触发感染过程的嵌入式链接。如果打开 HTML 附件，则会显示一个带有下载器或植入器的 ZIP 存档，它会部署并执行多功能 RAT 负载。

下载程序从远程服务器检索恶意软件，而投放器直接从存档而不是外部源提取有效负载。

涉及欺诈链接的第二条感染链更加复杂。如果被非预期目标点击，它会将用户重定向到 FattureInCloud 上托管的合法发票，从而增加一层欺骗性。

SambaSpy 威胁传播的替代方案

在另一种情况下，单击相同的 URL 会将受害者定向到受感染的 Web 服务器，该服务器会显示一个 HTML 页面，其中的 JavaScript 代码包含巴西葡萄牙语的注释。

此页面将用户重定向到损坏的 OneDrive 链接，但前提是他们使用 Edge、Firefox 或 Chrome 并将其语言设置为意大利语。如果不满足这些条件，用户将停留在同一页面上。对于通过检查的用户，将显示托管在 Microsoft OneDrive 上的 PDF 文档，指示他们单击超链接以查看文档。这会将他们引导到 MediaFire 上的欺诈性 JAR 文件，其中包含下载器或植入器，就像前面的案例一样。

SambaSpy 具备多种威胁功能

SambaSpy 是一款用 Java 开发的多功能远程访问木马 (RAT)，对于网络犯罪分子来说，它就像一把瑞士军刀。它提供多种功能，包括文件系统和进程管理、远程桌面控制、文件上传/下载、网络摄像头访问、键盘记录、剪贴板跟踪、屏幕截图和远程 shell 访问。

该恶意软件还可以通过执行之前下载的文件在运行时加载其他插件，从而根据需要增强其功能。此外，它还旨在从 Chrome、Edge、Opera、Brave、Iridium 和 Vivaldi 等流行的 Web 浏览器获取凭据。

基础设施线索表明，SambaSpy 背后的威胁行为者可能正在将行动扩展到巴西和西班牙。代码中的语言痕迹和针对巴西用户的域名等与巴西的几项联系表明其起源于巴西。这符合更广泛的趋势，即拉丁美洲攻击者经常以语言相似的欧洲国家为目标，例如意大利、西班牙和葡萄牙。