SambaSpy: il malware che ama l’Italia

Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una sofisticata campagna di malware mirata esclusivamente agli utenti italiani. Il malware, chiamato SambaSpy, è un Remote Access Trojan (RAT) con funzioni di gestione del file system, controllo della webcam, furto di password e gestione remota del desktop. La campagna SambaSpy si distingue per la sua precisione, colpendo solo i sistemi impostati in italiano. Iniziata nel maggio 2024, la campagna continua senza segni di rallentamento.

I ricercatori hanno identificato due catene di infezione leggermente diverse utilizzate nella campagna. Un metodo di infezione particolarmente elaborato inizia con un’email di phishing, che sembra provenire da una società immobiliare italiana legittima. L’email invita gli utenti a visualizzare una fattura cliccando su un link, che reindirizza gli utenti a un servizio cloud italiano legittimo utilizzato per la gestione delle fatture. Tuttavia, alcuni utenti vengono invece reindirizzati a un server Web dannoso, in cui il malware convalida le impostazioni del browser e della lingua. Se l’utente utilizza Edge, Firefox o Chrome in lingua italiana, viene indirizzato a un URL OneDrive contenente un PDF dannoso. In questo modo viene avviato il download di un dropper o di un downloader, entrambi in grado di scaricare il RAT SambaSpy. SambaSpy è un RAT completo scritto in Java e nascosto utilizzando Zelix KlassMaster.

“Siamo stati sorpresi dal target ristretto di questo attacco. Di solito i criminali informatici mirano a infettare il maggior numero di utenti possibile, ma la catena di infezione di SambaSpy include controlli specifici per garantire che vengano colpiti solo gli utenti italiani”, ha commentato Giampaolo Dedola, Lead Cybersecurity Researcher di Kaspersky GReAT.

Questo malware avanzato può eseguire una serie di attività dannose, tra cui:

• Gestione del file system e dei processi
• Controllo della webcam
• Registrazione dei tasti e manipolazione della clipboard
• Gestione del desktop da remoto
• Furto di password dai principali browser come Chrome, Edge e Opera
• Caricamento e download di file
• Possibilità di caricare plugin aggiuntivi in fase di esecuzione

Il meccanismo di caricamento dei plugin di SambaSpy e l’uso di library come JNativeHook dimostrano la sofisticatezza degli aggressori. Sebbene gli utenti italiani siano l’obiettivo principale, Kaspersky ha trovato forti collegamenti con il Brasile. I commenti e i messaggi di errore nel codice maligno sono scritti in portoghese brasiliano, suggerendo che l’attore della minaccia potrebbe essere brasiliano. Inoltre, l’infrastruttura usata nella campagna è collegata ad attacchi in Brasile e Spagna, sebbene gli strumenti di infezione in queste regioni differiscano leggermente da quelli usati in Italia.
Il report completo su SambaSpy è disponibile su Securelist.

*illustrazione articolo progettata da Securelist