Cybersicherheitsexperten von Kaspersky haben einen neuen, hochentwickelten Trojaner für Fernzugriff (RAT) entdeckt, der gezielt italienische Internetnutzer angreift. Der als SambaSpy bezeichnete Schädling wurde im Frühjahr 2023 identifiziert und stellt eine ernsthafte Bedrohung für die digitale Sicherheit dar.
Technische Merkmale und Fähigkeiten von SambaSpy
SambaSpy ist in Java programmiert und nutzt den Obfuskator Zelix KlassMaster, um seine wahre Natur zu verschleiern. Die Malware verfügt über ein beeindruckendes Arsenal an Funktionen:
- Kontrolle über Dateisystem und Prozesse
- Zugriff auf Webcam und Screenshot-Erstellung
- Keylogging-Funktionalität
- Manipulation der Zwischenablage
- Remote-Desktop-Steuerung
- Diebstahl von Passwörtern aus gängigen Browsern (Chrome, Edge, Opera)
- Up- und Download von Dateien
- Installation zusätzlicher Plugins
Diese umfangreichen Fähigkeiten machen SambaSpy zu einem äußerst gefährlichen Werkzeug in den Händen von Cyberkriminellen.
Infektionsweg und Verbreitungsstrategie
Die Angriffe beginnen mit raffiniert gestalteten Phishing-E-Mails, die vorgeben, von einer italienischen Immobilienagentur zu stammen. Die potenziellen Opfer werden aufgefordert, eine Rechnung zu öffnen, indem sie auf einen eingebetteten Button klicken. Dieser Button enthält jedoch einen versteckten Link, der die meisten Nutzer auf den legitimen italienischen Cloud-Dienst „Fatture In Cloud“ weiterleitet.
Einige Nutzer werden jedoch auf einen bösartigen Webserver umgeleitet, wo ein Skript die Browser- und Spracheinstellungen überprüft. Bei Verwendung von Edge, Firefox oder Chrome mit italienischen Spracheinstellungen erfolgt eine Weiterleitung zu einem Cloud-Speicher mit einer infizierten PDF-Datei. Das Öffnen des Links in diesem Dokument führt zur Installation eines Droppers oder Loaders, die den eigentlichen Trojaner auf das System bringen.
Mögliche Verbindungen zu anderen Cyberangriffen
Obwohl die Kampagne primär auf italienische Nutzer abzielt, deuten einige Indizien auf einen breiteren Kontext hin. Tatyana Shishkova, leitende Expertin bei Kaspersky GReAT, erklärt:
„Unsere Experten vermuten, dass portugiesischsprachige Angreifer hinter der Kampagne stehen. Kommentare und Fehlermeldungen im Schadcode sind in brasilianischem Portugiesisch verfasst. Zudem wurde die verwendete Infrastruktur mit anderen Angriffen in Brasilien und Spanien in Verbindung gebracht, wobei sich die Infektionsmethoden in diesen Regionen leicht unterscheiden.“
Diese Erkenntnisse unterstreichen die globale Dimension der Bedrohung und die Notwendigkeit erhöhter Wachsamkeit im Bereich der Cybersicherheit. Unternehmen und Privatpersonen sollten ihre Sicherheitsmaßnahmen überprüfen, regelmäßig Software-Updates durchführen und besondere Vorsicht bei E-Mails mit Anhängen oder Links walten lassen. Nur durch kontinuierliche Aufmerksamkeit und proaktive Schutzmaßnahmen können wir uns gegen solch ausgeklügelte Cyberangriffe wie SambaSpy wappnen.