Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una sofisticata campagna di distribuzione malware rivolta esclusivamente agli utenti italiani. La campagna prevede la distribuzione di un nuovo Remote Access Trojan (RAT), chiamato dai ricercatori SambaSpy, con funzionalità quali il file system management, il controllo della webcam, il furto di password e la gestione del desktop da remoto.
A differenza della maggior parte degli attacchi malware che mirano a più Paesi e utilizzano diverse lingue, la campagna SambaSpy si distingue per la precisione dei suoi obiettivi. Il malware è stato progettato per colpire solo gli utenti i cui sistemi sono impostati in italiano, garantendo la massima probabilità di successo in questa regione. Secondo la telemetria di Kaspersky, questa campagna è iniziata nel maggio 2024 e non mostra segni di rallentamento.
“Siamo stati sorpresi dal target ristretto di questo attacco. Di solito i criminali informatici mirano a infettare il maggior numero di utenti possibile, ma la catena di infezione di SambaSpy include controlli specifici per garantire che vengano colpiti solo gli utenti italiani”, ha commentato Giampaolo Dedola, Lead Cybersecurity Researcher di Kaspersky GReAT.
Kaspersky ha identificato due catene di infezione leggermente diverse utilizzate nella campagna. Un metodo di infezione particolarmente elaborato inizia con un’email di phishing, che sembra provenire da una società immobiliare italiana legittima. L’email invita gli utenti a visualizzare una fattura cliccando su un link, che reindirizza gli utenti a un servizio cloud italiano legittimo utilizzato per la gestione delle fatture.
Tuttavia, alcuni utenti vengono invece reindirizzati a un server Web dannoso, in cui il malware convalida le impostazioni del browser e della lingua. Se l’utente utilizza Edge, Firefox o Chrome in lingua italiana, viene indirizzato a un URL OneDrive contenente un PDF dannoso. In questo modo viene avviato il download di un dropper o di un downloader, entrambi in grado di scaricare il RAT SambaSpy.
SambaSpy è un RAT completo scritto in Java e nascosto utilizzando Zelix KlassMaster. Questo malware avanzato può eseguire una serie di attività dannose, tra cui:
· Gestione del file system e dei processi
· Registrazione dei tasti e manipolazione della clipboard
· Gestione del desktop da remoto
· Furto di password dai principali browser come Chrome, Edge e Opera
· Caricamento e download di file
· Possibilità di caricare plugin aggiuntivi in fase di esecuzione
Il meccanismo di caricamento dei plugin di SambaSpy e l’uso di library come JNativeHook dimostrano il livello di sofisticatezza impiegato dagli aggressori.
Sebbene l’obiettivo principale siano gli utenti italiani, i ricercatori di Kaspersky hanno individuati forti collegamenti con il Brasile. I commenti e i messaggi di errore all’interno del codice maligno sono scritti in portoghese brasiliano, suggerendo che l’attore della minaccia dietro gli attacchi potrebbe essere brasiliano. Inoltre, l’infrastruttura utilizzata nella campagna è stata collegata ad altri attacchi in Brasile e Spagna, anche se gli strumenti di infezione in queste regioni differiscono leggermente da quelli utilizzati in Italia.
