Malware SambaSpy
Un malware recién descubierto, denominado SambaSpy, está atacando específicamente a usuarios de Italia a través de una campaña de phishing dirigida por un supuesto actor de amenazas de habla portuguesa de Brasil. A diferencia de la mayoría de los actores de amenazas, que suelen apuntar a una amplia audiencia para maximizar sus ganancias, este grupo parece estar concentrándose únicamente en Italia. Es posible que estén utilizando este enfoque específico como prueba antes de extender sus actividades a otras regiones.
Tabla de contenido
Los ataques de SambaSpy comienzan con mensajes de phishing
El ataque comienza con un correo electrónico de phishing que entrega un archivo adjunto en formato HTML o un enlace incrustado que desencadena el proceso de infección. Si se abre el archivo adjunto en formato HTML, se revela un archivo ZIP con un programa de descarga o dropper, que implementa y ejecuta la carga útil del RAT multifuncional.
El descargador recupera el malware de un servidor remoto, mientras que el cuentagotas extrae la carga útil directamente del archivo en lugar de una fuente externa.
Una segunda cadena de infección que utiliza el enlace fraudulento es más sofisticada. Si un objetivo no deseado hace clic en él, redirige al usuario a una factura legítima alojada en FattureInCloud, lo que añade una capa de engaño.
Escenario alternativo para la distribución de la amenaza SambaSpy
En otro escenario, al hacer clic en la misma URL, la víctima se dirige a un servidor web comprometido que muestra una página HTML con código JavaScript que contiene comentarios en portugués brasileño.
Esta página redirige a los usuarios a un enlace corrupto de OneDrive, pero solo si están usando Edge, Firefox o Chrome con el idioma configurado en italiano. Si no se cumplen estas condiciones, los usuarios permanecen en la misma página. A quienes pasan las comprobaciones, se les presenta un documento PDF alojado en Microsoft OneDrive, en el que se les indica que hagan clic en un hipervínculo para ver el documento. Esto los lleva a un archivo JAR fraudulento en MediaFire, que contiene el descargador o el dropper, como en los casos anteriores.
SambaSpy está equipado con un conjunto diverso de capacidades de amenaza
SambaSpy es un troyano de acceso remoto (RAT) versátil desarrollado en Java que funciona como una navaja suiza para los cibercriminales. Ofrece una amplia gama de funciones, entre las que se incluyen la gestión de procesos y sistemas de archivos, el control remoto del escritorio, la carga y descarga de archivos, el acceso a la cámara web, el registro de pulsaciones de teclas, el seguimiento del portapapeles, la captura de pantallas y el acceso remoto al shell.
El malware también puede cargar complementos adicionales en tiempo de ejecución ejecutando archivos que descargó previamente, lo que le permite mejorar sus funciones según sea necesario. Además, está diseñado para recopilar credenciales de navegadores web populares como Chrome, Edge, Opera, Brave, Iridium y Vivaldi.
Las pistas de infraestructura indican que el actor de amenazas detrás de SambaSpy puede estar expandiendo sus operaciones a Brasil y España. Varias conexiones con Brasil, como rastros de idioma en el código y dominios dirigidos a usuarios brasileños, sugieren un origen brasileño. Esto encaja con una tendencia más amplia en la que los atacantes latinoamericanos suelen apuntar a países europeos con mercados lingüísticamente similares, como Italia, España y Portugal.
