Эксперты «Лаборатории Касперского» обнаружили новую угрозу в сфере кибербезопасности — троян удаленного доступа (RAT) под названием SambaSpy. Этот вредоносный инструмент используется в целевых атаках на пользователей в Италии, что может свидетельствовать о тестировании малвари перед ее глобальным распространением.
Технические особенности SambaSpy
SambaSpy представляет собой сложное вредоносное ПО, написанное на Java и замаскированное с помощью обфускатора Zelix KlassMaster. Функциональность трояна включает:
- Управление файловой системой и процессами
- Доступ к веб-камере и создание скриншотов
- Кейлоггинг (запись нажатий клавиш)
- Контроль буфера обмена и удаленного рабочего стола
- Кража паролей из популярных браузеров (Chrome, Edge, Opera и др.)
- Загрузка и выгрузка файлов
- Установка дополнительных вредоносных плагинов
Механизм распространения SambaSpy
Атаки SambaSpy начинаются с фишинговых писем, маскирующихся под сообщения от итальянского агентства недвижимости. Злоумышленники используют сложную схему распространения малвари:
- Жертве предлагается просмотреть счет, нажав на кнопку в письме
- Большинство пользователей перенаправляются на легитимный сервис Fatture In Cloud
- Отдельные пользователи попадают на вредоносный веб-сервер
- Скрипт проверяет настройки браузера и языка пользователя
- При соответствии критериям (итальянский язык, определенные браузеры) жертва перенаправляется к вредоносному PDF-файлу
- Открытие ссылки в PDF приводит к установке дроппера или загрузчика SambaSpy
Географический фокус и происхождение атак
Хотя основной целью кампании являются итальянские пользователи, исследователи предполагают, что за атаками стоят португалоязычные злоумышленники. Это подтверждается наличием комментариев на бразильском варианте португальского языка в коде малвари. Кроме того, инфраструктура атакующих связана с предыдущими инцидентами в Бразилии и Испании, хотя используемые инструменты несколько отличаются.
Обнаружение SambaSpy подчеркивает важность постоянной бдительности в вопросах кибербезопасности. Пользователям рекомендуется проявлять осторожность при работе с электронной почтой, не открывать подозрительные вложения и регулярно обновлять антивирусное ПО. Организациям следует усилить обучение сотрудников по вопросам информационной безопасности и внедрить многоуровневую защиту от современных киберугроз.
