SambaSpy マルウェア

新たに発見されたマルウェア「SambaSpy」は、ブラジルのポルトガル語を話す脅威アクターが主導するフィッシング キャンペーンを通じて、特にイタリアのユーザーをターゲットにしています。通常、利益を最大化するために幅広いユーザーを狙うほとんどの脅威アクターとは異なり、このグループはイタリアのみに集中しているようです。他の地域に活動を広げる前に、この集中的なアプローチをテスト ランとして使用している可能性があります。

SambaSpy 攻撃はフィッシングメッセージから始まる

攻撃は、感染プロセスを引き起こす HTML 添付ファイルまたは埋め込みリンクを配信するフィッシング メールから始まります。HTML 添付ファイルを開くと、ダウンローダーまたはドロッパーを含む ZIP アーカイブが表示され、多機能 RAT ペイロードが展開されて実行されます。

ダウンローダーはリモート サーバーからマルウェアを取得しますが、ドロッパーは外部ソースではなくアーカイブから直接ペイロードを抽出します。

不正なリンクが関与する 2 番目の感染チェーンはより巧妙です。意図しないターゲットがクリックすると、ユーザーは FattureInCloud でホストされている正当な請求書にリダイレクトされ、欺瞞の層が追加されます。

SambaSpy 脅威の配信の別のシナリオ

別のシナリオでは、同じ URL をクリックすると、被害者は侵害された Web サーバーに誘導され、ブラジル ポルトガル語のコメントを含む JavaScript コードを含む HTML ページが表示されます。

このページは、ユーザーを破損した OneDrive リンクにリダイレクトしますが、これはユーザーが Edge、Firefox、または Chrome を使用していて、言語がイタリア語に設定されている場合に限ります。これらの条件が満たされない場合、ユーザーは同じページに留まります。チェックに合格したユーザーには、Microsoft OneDrive でホストされている PDF ドキュメントが表示され、ハイパーリンクをクリックしてドキュメントを表示するように指示されます。これにより、以前のケースと同様に、ダウンローダーまたはドロッパーのいずれかを含む、MediaFire 上の不正な JAR ファイルに誘導されます。

SambaSpyは多様な脅威機能を備えている

SambaSpy は、Java で開発された多用途のリモート アクセス トロイの木馬 (RAT) であり、サイバー犯罪者にとってスイス アーミー ナイフのような機能を果たします。ファイル システムとプロセスの管理、リモート デスクトップの制御、ファイルのアップロード/ダウンロード、Web カメラへのアクセス、キーロギング、クリップボードの追跡、スクリーンショットのキャプチャ、リモート シェルへのアクセスなど、幅広い機能を提供します。

このマルウェアは、以前にダウンロードしたファイルを実行することで実行時に追加のプラグインをロードし、必要に応じて機能を強化することもできます。さらに、Chrome、Edge、Opera、Brave、Iridium、Vivaldi などの一般的な Web ブラウザから認証情報を収集するように設計されています。

インフラストラクチャの手がかりから、SambaSpy の背後にいる脅威アクターが、ブラジルとスペインに活動を拡大している可能性が示唆されています。コード内の言語の痕跡やブラジルのユーザーをターゲットにしたドメインなど、ブラジルとのつながりがいくつかあることから、ブラジル起源であることが示唆されます。これは、ラテンアメリカの攻撃者が、イタリア、スペイン、ポルトガルなど、言語的に類似した市場を持つヨーロッパ諸国をターゲットにすることが多いという、より広範な傾向と一致しています。