Poniedziałek, 23 września 2024 – 09:03 WIB
Dżakarta, VIVA – Globalny zespół ds. badań i analiz firmy Kaspersky (GReAT) odkrył wyrafinowaną kampanię szkodliwego oprogramowania, której celem są wyłącznie użytkownicy we Włoszech.
Przeczytaj także:
5 ważnych wskazówek, na które młodzi ludzie powinni zwrócić uwagę w erze cyfrowej
Kampania obejmuje dystrybucję nowego trojana zdalnego dostępu (RAT) — nazwanego przez badaczy SambaSpy — mającego takie funkcje, jak zarządzanie systemem plików, kontrola kamery internetowej, kradzież haseł i zarządzanie zdalnym pulpitem.
W przeciwieństwie do większości ataków złośliwego oprogramowania, które obejmują wiele krajów i języków, kampania SambaSpy wyróżnia się precyzyjnym targetowaniem.
Przeczytaj także:
Dane osobowe rozpowszechniane poprzez pracę dyplomową zrobioną w smażonych wrapach, ta osoba otrzymuje zagraniczne wiadomości
To złośliwe oprogramowanie zostało zaprojektowane tak, aby infekować tylko użytkowników, których systemy są ustawione na język włoski, zapewniając maksymalne szanse powodzenia w tym regionie.
Według danych telemetrycznych firmy Kaspersky kampania ta rozpoczęła się w maju 2024 r. i nie wykazuje oznak spowolnienia.
Przeczytaj także:
Bądź ostrożny! Loki obiera za cel Twoją firmę, aby stać się następną ofiarą
„Byliśmy zaskoczeni wąskim zakresem celu tego cyberataku, ponieważ zazwyczaj infekuje on jak największą liczbę użytkowników, ale łańcuch infekcji SambaSpy obejmuje specjalne kontrole, które pozwalają mieć pewność, że atak dotyczy tylko użytkowników z Włoch” – powiedział Giampaolo Dedola, WSPANIAŁY starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky. .
Kaspersky zidentyfikował dwa nieco różne łańcuchy infekcji wykorzystane w kampanii.
Jedna szczególnie podstępna metoda infekcji rozpoczyna się od wiadomości e-mail phishingowej, która wydaje się pochodzić od legalnej włoskiej firmy z branży nieruchomości.
W e-mailu użytkownicy są proszeni o wyświetlenie faktury poprzez kliknięcie osadzonego łącza. Ten link kieruje użytkowników do legalnej włoskiej usługi w chmurze używanej do zarządzania fakturami.
Zamiast tego użytkownicy są jednak przekierowywani na złośliwy serwer internetowy, gdzie złośliwe oprogramowanie sprawdza ustawienia przeglądarki i języka.
Jeśli użytkownicy uruchomią Edge, Firefox lub Chrome z ustawieniami języka włoskiego, zostaną przekierowani do złośliwego adresu URL OneDrive zawierającego plik PDF osadzony w złośliwym oprogramowaniu.
Spowoduje to uruchomienie narzędzia pobierającego lub modułu pobierania, które ostatecznie wyślą SambaSpy RAT.
SambaSpy to w pełni funkcjonalny RAT napisany w Javie i ukryty przy użyciu Zelix KlassMaster. To wyrafinowane złośliwe oprogramowanie może wykonywać różnorodne szkodliwe działania, w tym:
• Zarządzanie systemem plików i procesami
• Sterowanie kamerą internetową
• Rejestrowanie naciśnięć klawiszy i manipulowanie schowkiem
• Zdalne zarządzanie pulpitem
• Kradzież haseł z głównych przeglądarek, takich jak Chrome, Edge i Opera
• Przesyłanie i pobieranie plików
• Możliwość ładowania dodatkowych wtyczek w czasie wykonywania
• Mechanizm ładowania wtyczek SambaSpy i wykorzystanie bibliotek takich jak JNativeHook pokazują poziom wyrafinowania atakującego.
Następna strona
Jedna szczególnie podstępna metoda infekcji rozpoczyna się od wiadomości e-mail phishingowej, która wydaje się pochodzić od legalnej włoskiej firmy z branży nieruchomości.
