SambaSpy 惡意軟體

新發現的惡意軟體名為 SambaSpy，透過由巴西疑似葡萄牙語威脅行為者領導的網路釣魚活動專門針對義大利用戶。與大多數威脅行為者通常以廣泛受眾為目標以實現利益最大化不同，該組織似乎只專注於義大利。他們可能會使用這種集中方法作為測試運行，然後將其活動擴展到其他地區。

SambaSpy 攻擊從網路釣魚訊息開始

攻擊從網路釣魚電子郵件開始，該電子郵件傳遞 HTML 附件或觸發感染過程的嵌入連結。如果開啟 HTML 附件，它會顯示一個帶有下載器或釋放器的 ZIP 存檔，用於部署和執行多功能 RAT 有效負載。

下載程式從遠端伺服器檢索惡意軟體，而植入程式則直接從存檔而不是外部來源提取有效負載。

涉及詐欺連結的第二條感染鏈更為複雜。如果被非預期目標點擊，它會將使用者重新導向到 FattureInCloud 上託管的合法發票，從而增加一層欺騙。

傳遞 SambaSpy 威脅的替代場景

在另一種情況下，按一下相同 URL 會將受害者引導至受感染的 Web 伺服器，該伺服器顯示 HTML 頁面，其中包含包含巴西葡萄牙語註釋的 JavaScript 程式碼。

此頁面會將用戶重定向到損壞的 OneDrive 鏈接，但前提是他們使用 Edge、Firefox 或 Chrome，語言設定為義大利語。如果不符合這些條件，使用者將停留在同一頁。對於通過檢查的人員，將顯示託管在 Microsoft OneDrive 上的 PDF 文檔，指示他們單擊超連結以查看該文檔。這會導致他們在 MediaFire 上找到一個欺詐性的 JAR 文件，其中包含下載程序或植入程序，就像之前的案例一樣。

SambaSpy 配備了多種威脅功能

SambaSpy 是一種用 Java 開發的多功能遠端存取木馬 (RAT)，其功能就像網路犯罪分子的瑞士軍刀。它提供了廣泛的功能，包括檔案系統和進程管理、遠端桌面控制、檔案上傳/下載、網路攝影機存取、鍵盤記錄、剪貼簿追蹤、螢幕截圖擷取和遠端 shell 存取。

該惡意軟體還可以透過執行先前下載的檔案在運行時加載其他插件，使其能夠根據需要增強其功能。此外，它的設計目的是從 Chrome、Edge、Opera、Brave、Iridium 和 Vivaldi 等流行的 Web 瀏覽器獲取憑證。

基礎設施線索表明，SambaSpy 背後的威脅行為者可能正在將業務擴展到巴西和西班牙。與巴西的一些聯繫，例如針對巴西用戶的程式碼和網域中的語言痕跡，表明其起源於巴西。這符合更廣泛的趨勢，即拉丁美洲攻擊者經常針對語言相似市場的歐洲國家，例如義大利、西班牙和葡萄牙。