Sommario
Nel maggio 2024, è stata rilevata una campagna di attacchi informatici mirata esclusivamente agli utenti italiani. Questo tipo di attacco si distingue perché, a differenza delle campagne tradizionali che puntano a un pubblico internazionale, in questo caso specifico sono stati implementati vari controlli nel codice malware per assicurarsi che solo utenti con sistema configurato in lingua italiana fossero infettati. Al centro di questo attacco si trova un nuovo Remote Access Trojan (RAT) denominato SambaSpy.
Il malware SambaSpy e la sua diffusione
L’infezione inizia con un’e-mail fraudolenta apparentemente proveniente da una legittima azienda immobiliare italiana. L’e-mail, scritta in italiano, invita l’utente a visualizzare una fattura tramite un link che reindirizza a un sito web malevolo. Il sito, in un primo momento, mostra un’informazione legittima sfruttando il servizio FattureInCloud, un popolare strumento di gestione delle fatture in Italia. Tuttavia, questo è solo un trucco per guadagnare fiducia. In background, vengono attuati controlli specifici per verificare se l’utente utilizza un browser con la lingua impostata su italiano, come Edge, Firefox o Chrome.
Se queste condizioni vengono soddisfatte, l’utente viene indirizzato a un documento PDF ospitato su OneDrive, che contiene un link a un file JAR malevolo caricato su MediaFire. Questo file è progettato per scaricare o rilasciare il malware SambaSpy nel sistema della vittima. Interessante notare che il malware esegue ulteriori controlli per verificare che l’ambiente in cui è stato scaricato sia effettivamente italiano, evitando così di infettare sistemi con impostazioni diverse.
Funzionalità avanzate di SambaSpy
SambaSpy è scritto in Java ed è altamente offuscato per evitare di essere rilevato e analizzato. Tra le sue numerose funzionalità, SambaSpy è in grado di:
- Gestire il file system, permettendo il caricamento e il download di file dalla macchina infetta.
- Controllare i processi attivi sul sistema.
- Attivare la webcam per registrare video o immagini.
- Registrare i tasti premuti (keylogging) e monitorare il contenuto degli appunti.
- Rubare credenziali dai principali browser, tra cui Chrome, Firefox, Edge e altri.
- Acquisire screenshot della schermata attuale.
- Controllare il desktop da remoto, grazie all’utilizzo di una libreria Java che permette la gestione di mouse e tastiera.
Strategia di attacco e possibili responsabili
Gli indicatori di Kaspersky suggeriscono che l’attacco potrebbe provenire da un gruppo di cybercriminali con competenze linguistiche brasiliane, dato che molti commenti nel codice e nei siti utilizzati per distribuire il malware sono scritti in portoghese brasiliano. Nonostante la campagna si concentri sugli utenti italiani, ci sono prove che lo stesso gruppo abbia esteso le proprie attività anche in Spagna e Brasile.
