Logiciel malveillant SambaSpy
Un malware récemment découvert, baptisé SambaSpy, cible spécifiquement les utilisateurs en Italie par le biais d'une campagne de phishing menée par un pirate lusophone originaire du Brésil. Contrairement à la plupart des pirates, qui visent généralement un large public pour maximiser leurs gains, ce groupe semble se concentrer uniquement sur l'Italie. Il est possible qu'ils utilisent cette approche ciblée comme un essai avant d'étendre leurs activités à d'autres régions.
Table des matières
Les attaques de SambaSpy commencent par des messages de phishing
L'attaque commence par un e-mail de phishing contenant soit une pièce jointe HTML, soit un lien intégré qui déclenche le processus d'infection. Si la pièce jointe HTML est ouverte, elle révèle une archive ZIP avec un téléchargeur ou un dropper, qui déploie et exécute la charge utile RAT multifonctionnelle.
Le téléchargeur récupère le malware à partir d'un serveur distant, tandis que le dropper extrait la charge utile directement de l'archive plutôt que d'une source externe.
Une deuxième chaîne d'infection impliquant le lien frauduleux est plus sophistiquée. Si une cible non intentionnelle clique sur ce lien, il redirige l'utilisateur vers une facture légitime hébergée sur FattureInCloud, ajoutant ainsi une couche de tromperie.
Scénario alternatif pour la diffusion de la menace SambaSpy
Dans un autre scénario, cliquer sur la même URL dirige la victime vers un serveur Web compromis qui affiche une page HTML avec du code JavaScript contenant des commentaires en portugais brésilien.
Cette page redirige les utilisateurs vers un lien OneDrive corrompu, mais uniquement s'ils utilisent Edge, Firefox ou Chrome avec la langue définie sur l'italien. Si ces conditions ne sont pas remplies, les utilisateurs restent sur la même page. Pour ceux qui passent les contrôles, un document PDF hébergé sur Microsoft OneDrive est présenté, leur demandant de cliquer sur un lien hypertexte pour afficher le document. Cela les conduit à un fichier JAR frauduleux sur MediaFire, contenant soit le téléchargeur, soit le dropper, comme dans les cas précédents.
SambaSpy est équipé d’un ensemble diversifié de capacités de menace
SambaSpy est un cheval de Troie d'accès à distance (RAT) polyvalent développé en Java, fonctionnant comme un couteau suisse pour les cybercriminels. Il offre un large éventail de fonctionnalités, notamment la gestion du système de fichiers et des processus, le contrôle du bureau à distance, le téléchargement/chargement de fichiers, l'accès à la webcam, l'enregistrement des frappes, le suivi du presse-papiers, la capture d'écran et l'accès au shell à distance.
Le malware peut également charger des plugins supplémentaires lors de l'exécution en exécutant des fichiers qu'il a précédemment téléchargés, ce qui lui permet d'améliorer ses fonctions selon les besoins. De plus, il est conçu pour collecter les informations d'identification des navigateurs Web populaires tels que Chrome, Edge, Opera, Brave, Iridium et Vivaldi.
Des indices d'infrastructure indiquent que l'acteur malveillant derrière SambaSpy pourrait étendre ses opérations au Brésil et à l'Espagne. Plusieurs liens avec le Brésil, tels que des traces de langue dans le code et des domaines ciblant des utilisateurs brésiliens, suggèrent une origine brésilienne. Cela correspond à une tendance plus large selon laquelle les attaquants latino-américains ciblent souvent des pays européens ayant des marchés linguistiquement similaires, comme l'Italie, l'Espagne et le Portugal.
