Il nuovo malware SambaSpy legato al Brasile prende di mira gli utenti italiani attraverso email di phishing. Questo malware, mai documentato in precedenza, è stato identificato da Kaspersky in una campagna orchestrata da un attore di minaccia che parla portoghese brasiliano. A differenza di altre campagne di phishing che mirano a un pubblico ampio, questa attacca esclusivamente utenti italiani, suggerendo che gli aggressori stiano testando il terreno prima di espandere le loro operazioni ad altri paesi.

Il punto di partenza dell'attacco è un'email di phishing che include un allegato HTML o un link incorporato che avvia il processo di infezione. Se l'allegato HTML viene aperto, un archivio ZIP contenente un downloader o un dropper interim viene utilizzato per distribuire e lanciare il payload multifunzionale del RAT. Il downloader recupera il malware da un server remoto, mentre il dropper estrae il payload dall'archivio.

La seconda catena di infezione

La seconda catena di infezione, che include un link trappola, è più elaborata. Cliccando sul link, l'utente viene reindirizzato a una fattura legittima ospitata su FattureInCloud se non è il bersaglio previsto. In un altro scenario, cliccando sullo stesso URL, la vittima viene reindirizzata a un server web dannoso che serve una pagina HTML con codice JavaScript con commenti in portoghese brasiliano. Questo reindirizza l'utente a un URL OneDrive dannoso solo se sta utilizzando Edge, Firefox o Chrome con la lingua impostata su italiano.

Gli utenti che soddisfano questi requisiti ricevono un documento PDF ospitato su Microsoft OneDrive che li istruisce a cliccare su un link per visualizzare il documento, portandoli a un file JAR dannoso ospitato su MediaFire contenente il downloader o il dropper. SambaSpy, sviluppato in Java, è un trojan di accesso remoto completo che può gestire il file system, i processi, il desktop remoto, il caricamento/scaricamento di file, il controllo della webcam, il keylogging e il tracciamento degli appunti, la cattura di schermate e la shell remota.

Il trojan è anche in grado di caricare plugin aggiuntivi al momento dell'esecuzione, incrementando le sue capacità secondo necessità. Inoltre, è progettato per rubare credenziali da browser web come Chrome, Edge, Opera, Brave, Iridium e Vivaldi. Le prove indicano che l'attore di minaccia dietro la campagna sta anche mirando al Brasile e alla Spagna, suggerendo un'espansione operativa.

La scoperta arriva poche settimane dopo che Trend Micro ha avvisato di un aumento delle campagne che distribuiscono trojan bancari come BBTok, Grandoreiro e Mekotio, che prendono di mira la regione dell'America Latina attraverso truffe di phishing che sfruttano transazioni commerciali e transazioni giudiziarie come esche. Mekotio utilizza una nuova tecnica in cui lo script PowerShell del trojan è ora offuscato, migliorando la sua capacità di eludere il rilevamento.

LNK file, utilizzato per avanzare al passaggio successivo, lancia il binario legittimo MSBuild.exe, che carica un file XML dannoso nascosto nell'archivio ISO. Questo poi sfrutta rundll32.exe per lanciare il payload DLL di BBTok. Le catene di attacco associate a Mekotio iniziano con un URL dannoso nell'email di phishing che, se cliccato, dirige l'utente a un sito web fasullo che consegna un archivio ZIP contenente un file batch progettato per eseguire uno script PowerShell.