Um malware inédito, batizado de SambaSpy, está mirando exclusivamente usuários da Itália em uma campanha de phishing supostamente conduzida por um grupo de cibercriminosos brasileiros de língua portuguesa.
“Enquanto os agentes de ameaças normalmente visam um grande número de usuários para maximizar seus lucros, esses atacantes estão focados em um único país”, afirmou a Kaspersky em uma análise recente. “Provavelmente, eles estão testando o ataque em usuários italianos antes de expandir para outros países.”
A campanha começa com um e-mail de phishing que contém um anexo HTML ou um link embutido, ambos projetados para iniciar o processo de infecção. Quando o anexo HTML é aberto, um arquivo ZIP é baixado, contendo um downloader ou dropper, responsável por lançar a carga útil do malware.
O downloader baixa o malware de um servidor remoto, enquanto o dropper extrai a carga útil diretamente do arquivo ZIP.
A segunda variante de ataque, que usa um link malicioso, é mais complexa. Se o usuário não for o alvo correto, ele será redirecionado para uma fatura legítima hospedada no FattureInCloud. Caso contrário, será levado a um servidor malicioso que exibe uma página HTML com código JavaScript, contendo comentários escritos em português do Brasil.
“O redirecionamento só acontece se o navegador estiver definido para o idioma italiano e for um dos navegadores suportados, como Edge, Firefox ou Chrome”, explicou a empresa de segurança russa. “Se o usuário não atender a esses critérios, ele permanecerá na página inofensiva.”
Usuários que se enquadram nos requisitos recebem um documento PDF no Microsoft OneDrive, que os instrui a clicar em um hiperlink para visualizar o conteúdo. Isso resulta no download de um arquivo JAR malicioso, hospedado no MediaFire, contendo o downloader ou dropper.
O SambaSpy é um trojan de acesso remoto (RAT) escrito em Java, altamente versátil. Ele possui funcionalidades como controle de arquivos, gerenciamento de processos, controle remoto da área de trabalho, upload e download de arquivos, acesso à webcam, registro de teclas, captura de tela, monitoramento da área de transferência e shell remoto. Além disso, pode carregar plugins adicionais durante a execução para expandir suas capacidades, como roubar credenciais de navegadores populares como Chrome, Edge, Opera, Brave, Iridium e Vivaldi.
Evidências sugerem que o grupo responsável pelo SambaSpy está de olho em expandir suas operações para o Brasil e a Espanha. “Há várias conexões com o Brasil, incluindo o idioma nos códigos e domínios focados em usuários brasileiros”, comentou a Kaspersky. “Isso se alinha à tendência de atacantes da América Latina direcionarem suas campanhas a países europeus com línguas semelhantes, como Itália, Espanha e Portugal.”
O lançamento do SambaSpy coincide com o aumento de campanhas de phishing na América Latina, onde malwares bancários, como BBTok, Grandoreiro e Mekotio, têm sido amplamente distribuídos por golpes que utilizam transações comerciais e judiciais como iscas.
O Mekotio, por exemplo, utiliza uma nova técnica de ofuscação do script PowerShell, dificultando a detecção. Já o BBTok recorre a links de phishing para baixar arquivos ZIP ou ISO que contêm arquivos LNK, que funcionam como gatilhos para a infecção. Ao executar o arquivo LNK, o malware usa o MSBuild.exe, um binário legítimo do Windows, para carregar um arquivo XML malicioso e iniciar a carga útil da DLL do BBTok.
As cadeias de infecção do Mekotio começam com um URL malicioso no e-mail de phishing. Ao clicar no link, o usuário é redirecionado para um site falso que distribui um arquivo ZIP com um script PowerShell. Esse script atua como downloader, iniciando o cavalo de Troia através de um script AutoHotKey, após verificar se o usuário está em um dos países-alvo.
“A sofisticação crescente dos golpes de phishing na América Latina, que visam roubar credenciais bancárias e realizar transações não autorizadas, destaca a necessidade urgente de reforçar as medidas de segurança cibernética”, alertaram os pesquisadores da Trend Micro. “Esses trojans estão se tornando cada vez mais habilidosos em evitar a detecção, enquanto os criminosos ampliam suas operações para alcançar mais vítimas e obter lucros maiores.”
Via - THN
Comentários