Utenti italiani nel mirino del RAT SambaSpy

Il nuovo RAT SambaSpy è stato distribuito nell’ambito di una campagna mirata in modo specifico contro utenti italiani. La scoperta è avvenuta a maggio scorso ed è stata rivelata a settembre.

SambaSpy, di cui gli analisti hanno fornito una descrizione tecnica parziale ma eloquente, è un codice scritto in Java dotato di numerosi plugin che garantiscono piene funzioni di RAT. Nel dettaglio, la minaccia

• Registra tutto quello che viene digitato sulla tastiera
• Esfiltra o modifica il contenuto della clipboard
• Ruba le credenziali dai principali browser (Chrome, Edge, Opera, Brave, Iridium, Vivaldi, ecc)
• Implementa un sistema di controllo remoto di tastiera, mouse e webcam
• Può fare screenshot
• Può gestire il file system e i processi
• Carica e scarica file sulla macchina compromessa
• Consente agli attaccanti di interagire con la vittima.

La distribuzione è avvenuta attraverso due catene di infezione leggermente diverse, la cui particolarità è che includono fasi di controllo e selezione dei target mirate contro utenti italiani.

La potenziale vittima riceve un’e-mail di phishing, formalmente molto corretta, che sembra provenire da una società immobiliare italiana e che sollecita a scaricare una fattura in PDF cliccando su un link. La compagnia esiste davvero, ma non è assolutamente coinvolta.

L’attaccante, ipotizzano gli analisti, potrebbe aver abusato di una fattura legittima di questa società, presumibilmente pubblicata online da qualche cliente. A partire dai dati presenti nel documento è stata di fatto costruita l’intera operazione: il criminale ha registrato più di una dozzina di domini fraudolenti i cui nomi riprendono quello dell’azienda e ha inviato centinaia di e-mail contenenti il suo logo.

Il link inserito nei messaggi di posta elettronica è progettato per reindirizzare verso un URL OneDrive malevolo solo gli utenti che eseguono Edge, Firefox o Chrome con la lingua impostata su italiano. Questi utenti visualizzano un PDF che li induce a cliccare su un collegamento ipertestuale il quale, a sua volta, reindirizza a un file JAR ospitato su MediaFire. Il file non è altro che un dropper, oppure un downloader, del payload finale.

La campagna è stata attribuita ad un attaccante brasiliano. Stringhe in portoghese brasiliano, infatti, sono state riscontrate nei commenti e nei messaggi di errore del codice, oltre che nei domini fraudolenti. Fra tutte le operazioni associabili a SambaSpy, svolte anche in Spagna e in Brasile, solo quella italiana si è basata su controlli specifici della lingua dei potenziali target.

Gli analisti hanno sottolineato che il malware ha avuto come focus principale le informazioni degli utenti e ha specificato che fra le vittime possono esserci singoli individui, ma anche aziende.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way, azienda dal 2023 parte di Telsy.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence