Segunda-feira, 23 de setembro de 2024 – 09h03 WIB
Jacarta, VIVA – O Grupo Global de Pesquisa e Análise da Kaspersky (GReAT) descobriu uma sofisticada campanha de malware direcionada apenas a usuários na Itália.
Leia também:
5 dicas importantes que os jovens devem prestar atenção na era digital
A campanha envolve a distribuição de um novo trojan de acesso remoto (RAT), apelidado de SambaSpy pelos pesquisadores, que possui recursos como manipulação de sistema de arquivos, controle de webcam, roubo de senha e gerenciamento remoto de desktop.
Ao contrário da maioria dos ataques de malware que se espalham por vários países e idiomas, a campanha SambaSpy é distinta na sua segmentação precisa.
Leia também:
Informações pessoais através de panfletos distribuídos em embalagens fritas, essa pessoa recebe mensagens estrangeiras
Este malware foi projetado para infectar apenas usuários cujos sistemas estejam configurados para italiano, proporcionando uma chance de sucesso nessa região.
Segundo a telemetria da Kaspersky, a campanha começou em maio de 2024 e não dá sinais de desaceleração.
Leia também:
Tome cuidado! Loki é o alvo da sua empresa para se tornar a próxima vítima
“Ficamos surpresos com o direcionamento limitado deste ataque cibernético, porque geralmente eles infectam o maior número possível de usuários, mas a cadeia de infecção do SambaSpy inclui verificações especiais para garantir que apenas os usuários italianos sejam afetados”, disse Giampaolo Dedola, pesquisador sênior do GReAT no Kaspersky Cyber. Segurança. .
A Kaspersky identificou duas cadeias de infecção ligeiramente diferentes usadas na campanha.
Um método de infecção particularmente difícil começa com um e-mail de phishing proveniente de uma imobiliária italiana legítima.
O e-mail solicita que os usuários visualizem a fatura clicando em um link incorporado. Este link direciona os usuários para o serviço de nuvem jurídica italiano usado para gerenciar faturas.
No entanto, os usuários são redirecionados para um servidor web malicioso, onde o malware verifica as configurações do navegador e do idioma.
Se os usuários usarem Edge, Firefox ou Chrome com configurações de idioma italiano, eles serão redirecionados para um URL malicioso do OneDrive contendo um PDF infectado com malware.
Isso iniciará uma gaiola de download ou downloader, que eventualmente entregará o RAT do SambaSpy.
SambaSpy é um RAT completo escrito em Java e oculto usando Zelix KlassMaster. Este software sofisticado pode realizar diversas ações maliciosas, incluindo:
• Sistema de arquivos e gerenciamento de processos
• Controlar a webcam
• Gravação de teclado e processamento de área de transferência
• Gerenciamento remoto de desktop
• Roubo de senha dos principais navegadores, como Chrome, Edge e Opera
• Carregar e baixar arquivos
• Capacidade de carregar plug-ins adicionais em tempo de execução
• O mecanismo de carregamento de plug-ins do SambaSpy e o uso de bibliotecas como JNativeHook demonstram o nível de sofisticação utilizado pelos invasores.
Próxima página
Um método de infecção particularmente difícil começa com um e-mail de phishing proveniente de uma imobiliária italiana legítima.
