Експерти з кібербезпеки виявили новий небезпечний троян віддаленого доступу (RAT) під назвою SambaSpy, який активно використовується для цільових атак на користувачів в Італії. Це відкриття викликає серйозне занепокоєння фахівців, оскільки може свідчити про тестування зловмисниками нової шкідливої програми перед її масштабним розповсюдженням в інших країнах.
Технічні особливості та можливості SambaSpy
SambaSpy розроблений на мові Java та замаскований за допомогою обфускатора Zelix KlassMaster, що ускладнює його виявлення. Троян має широкий спектр шкідливих можливостей:
- Контроль файлової системи та процесів
- Доступ до веб-камери та створення скріншотів
- Кейлогінг (запис натискань клавіш)
- Управління буфером обміну та віддаленим робочим столом
- Крадіжка паролів з популярних браузерів (Chrome, Edge, Opera та інших)
- Завантаження та вивантаження файлів
- Встановлення додаткових шкідливих плагінів
Механізм зараження та поширення
Атаки SambaSpy починаються з фішингових листів, які маскуються під повідомлення від італійського агентства нерухомості. Жертвам пропонується переглянути рахунок, натиснувши на вбудовану кнопку. Більшість користувачів перенаправляються на легітимний італійський хмарний сервіс Fatture In Cloud. Однак деякі потрапляють на шкідливий веб-сервер, де скрипт перевіряє налаштування браузера та мови.
Якщо виявлено браузер Edge, Firefox або Chrome з італійськими мовними налаштуваннями, користувача перенаправляють до хмарного сховища зі шкідливим PDF-файлом. При активації посилання в цьому документі на пристрій проникає дроппер або завантажувач трояна.
Дві ланцюжки зараження
Дослідники виявили дві схеми зараження з незначними відмінностями:
- Дроппер безпосередньо встановлює троян
- Завантажувач спочатку скачує необхідні компоненти з серверів зловмисників
Походження та потенційні загрози
Хоча основною ціллю кампанії є італійські користувачі, експерти припускають, що за атаками стоять португаломовні зловмисники. Це підтверджується коментарями та повідомленнями про помилки в коді трояна, написаними бразильським варіантом португальської мови. Крім того, інфраструктура атак пов’язана з попередніми інцидентами в Бразилії та Іспанії, хоча інструменти зараження дещо відрізняються.
Виявлення SambaSpy підкреслює важливість постійної пильності та використання надійних засобів захисту. Користувачам рекомендується бути обережними при відкритті електронних листів від невідомих відправників, регулярно оновлювати програмне забезпечення та використовувати сучасні антивірусні рішення для захисту від подібних загроз.