SambaSpy az új RAT
2024 májusában egy újfajta RAT malware-t, a SambaSpy-t azonosította a Kaspersky. A SambaSpy egy olyan, funkciókban gazdag RAT, amelyet a Zelix KlassMaster segítségével obfuszkáltak, így sokkal nehezebb felderíteni és elemezni. A Kaspersky azonban kielemezte, hogy ez az új RAT képes: a fájlrendszer és a folyamatok kezelésére, fájlok letöltésére és feltöltésére; webkamera vezérlésére, képernyőfelvételek készítésére, jelszavak lopására, további bővítmények betöltésére, távoli vezérlésre, a billentyűleütések naplózására, és a vágólap kezelésére. A Kaspersky által felfedezett rosszindulatú kampány kizárólag olaszországi áldozatokat célzott meg. A fenyegető szereplők általában széles körben kiterjesztik tevékenységüket, hogy maximalizálják a profitjukat, de ezek a támadók csak egy országra koncentrálnak. Valószínű, hogy a támadók az olasz felhasználókkal tesztelik a SambaSpy-t, mielőtt más országokra is kiterjesztenék tevékenységüket.
Mint sok más RAT, a SambaSpy is e-mailen keresztül terjed. A támadók két elsődleges fertőzési láncot használtak, mindkettő egy ingatlanügynökség kommunikációjának álcázott adathalász e-maileket tartalmazott. Az e-mail kulcseleme egy CTA, amely egy hiperlinkre kattintva egy számla ellenőrzésére szól. A linkre kattintva a felhasználók egy rosszindulatú weboldalra kerülnek átirányításra, amely ellenőrzi a rendszer nyelvét és a használt böngészőt. Ha a potenciális áldozat operációs rendszere olaszra van állítva, és a linket az Edge, Firefox vagy Chrome böngészőben nyitja meg, akkor egy rosszindulatú PDF-fájlt kap, amely egy dropperrel vagy egy letöltőprogrammal fertőzi meg az eszközt. A kettő közötti különbség minimális: a dropper azonnal telepíti a trójai vírust, míg a letöltő először letölti a szükséges komponenseket a támadók szervereiről. Indítás előtt mind a betöltő, mind a dropper ellenőrzi, hogy a rendszer nem virtuális gépen fut-e, és ami a legfontosabb, hogy az operációs rendszer nyelve olaszra van-e állítva. Ha mindkét feltétel teljesül, az eszköz megfertőződik.
Azokat a felhasználókat, akik nem felelnek meg ezeknek a feltételeknek, a FattureInCloud, egy olasz felhőalapú megoldás digitális számlák tárolására és kezelésére szolgáló weboldalára irányítja át a rendszer. Ez az ügyes álca lehetővé teszi a támadók számára, hogy csak egy bizonyos célközönséget célozzanak meg – mindenki mást egy legitim weboldalra irányítanak át. A Kaspersky szerint a kampány már Spanyolország és Brazília felé terjeszkedik – ezt bizonyítják azok a rosszindulatú domainek, amelyeket ugyanaz a csoport más észlelt kampányokban használ. Ezek a kampányok egyébként már nem tartalmaznak nyelvi ellenőrzést.