SambaSpy-Malware
Eine neu entdeckte Malware namens SambaSpy zielt im Rahmen einer Phishing-Kampagne, die von einem mutmaßlich portugiesischsprachigen Bedrohungsakteur aus Brasilien angeführt wird, speziell auf Benutzer in Italien ab. Anders als die meisten Bedrohungsakteure, die normalerweise ein breites Publikum ansprechen, um ihre Gewinne zu maximieren, scheint sich diese Gruppe ausschließlich auf Italien zu konzentrieren. Es ist möglich, dass sie diesen gezielten Ansatz als Testlauf nutzen, bevor sie ihre Aktivitäten auf andere Regionen ausweiten.
Inhaltsverzeichnis
SambaSpy-Angriffe beginnen mit Phishing-Nachrichten
Der Angriff beginnt mit einer Phishing-E-Mail, die entweder einen HTML-Anhang oder einen eingebetteten Link enthält, der den Infektionsprozess auslöst. Wenn der HTML-Anhang geöffnet wird, wird ein ZIP-Archiv mit einem Downloader oder Dropper angezeigt, der die multifunktionale RAT-Nutzlast bereitstellt und ausführt.
Der Downloader ruft die Malware von einem Remote-Server ab, während der Dropper die Nutzlast direkt aus dem Archiv und nicht aus einer externen Quelle extrahiert.
Eine zweite Infektionskette mit dem betrügerischen Link ist ausgefeilter. Wenn ein unbeabsichtigtes Ziel darauf klickt, wird der Benutzer auf eine legitime Rechnung umgeleitet, die auf FattureInCloud gehostet wird, was eine zusätzliche Täuschungsebene hinzufügt.
Alternatives Szenario für die Verbreitung der SambaSpy-Bedrohung
In einem anderen Szenario wird das Opfer durch Klicken auf dieselbe URL zu einem kompromittierten Webserver weitergeleitet, der eine HTML-Seite mit JavaScript-Code anzeigt, der Kommentare in brasilianischem Portugiesisch enthält.
Diese Seite leitet Benutzer zu einem beschädigten OneDrive-Link weiter, allerdings nur, wenn sie Edge, Firefox oder Chrome mit der auf Italienisch eingestellten Sprache verwenden. Wenn diese Bedingungen nicht erfüllt sind, bleiben die Benutzer auf derselben Seite. Den Benutzern, die die Prüfungen bestehen, wird ein auf Microsoft OneDrive gehostetes PDF-Dokument angezeigt, in dem sie aufgefordert werden, auf einen Hyperlink zu klicken, um das Dokument anzuzeigen. Dies führt sie zu einer betrügerischen JAR-Datei auf MediaFire, die wie in den vorherigen Fällen entweder den Downloader oder den Dropper enthält.
SambaSpy ist mit einer Vielzahl bedrohlicher Funktionen ausgestattet
SambaSpy ist ein vielseitiger Remote Access Trojan (RAT), der in Java entwickelt wurde und für Cyberkriminelle wie ein Schweizer Taschenmesser funktioniert. Er bietet eine breite Palette an Funktionen, darunter Dateisystem- und Prozessverwaltung, Remote-Desktop-Steuerung, Datei-Upload/-Download, Webcam-Zugriff, Keylogging, Clipboard-Tracking, Screenshot-Erfassung und Remote-Shell-Zugriff.
Die Malware kann zur Laufzeit auch zusätzliche Plugins laden, indem sie zuvor heruntergeladene Dateien ausführt, wodurch sie ihre Funktionen nach Bedarf erweitern kann. Darüber hinaus ist sie darauf ausgelegt, Anmeldeinformationen von gängigen Webbrowsern wie Chrome, Edge, Opera, Brave, Iridium und Vivaldi zu sammeln.
Hinweise auf die Infrastruktur deuten darauf hin, dass der Bedrohungsakteur hinter SambaSpy seine Aktivitäten möglicherweise auf Brasilien und Spanien ausweitet. Mehrere Verbindungen zu Brasilien, wie etwa Sprachspuren im Code und Domänen, die auf brasilianische Benutzer abzielen, deuten auf einen brasilianischen Ursprung hin. Dies passt zu einem breiteren Trend, bei dem lateinamerikanische Angreifer häufig europäische Länder mit sprachlich ähnlichen Märkten wie Italien, Spanien und Portugal ins Visier nehmen.
