Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Opisi virusa, 23.09.2024, 11:00 AM

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je korišćen u kampanji koja je bila usmerena isključivo na korisnike u Italiji.

SambaSpy je RAT trojanac bogat funkcijama, zamaskiran korišćenjem Zelix KlassMastera, što otkrivanje i analizu malvera značajno otežava. Međutim, tim istraživača kompanije Kaspersky je analizirajući SambaSpy otkrio da je ovaj novi RAT sposoban za upravljanje sistemom i procesima, preuzimanje i otpremanje fajlova, kontrolisanje veb kamere, pravljenje snimaka ekrana, krađu lozinki, učitavanje dodataka, daljinsko upravljanje zaraženim uređajem, evidentiranje pritiska na tastere itd.

Sajber kriminalci obično pokušavaju da zabace široku mrežu kako bi što više zaradili, ali oni koji su u maju prvi koristili ovaj malver bili su fokusirani samo na jednu zemlju. Istraživači pretpostavljaju da je razlog za to namera sajber kriminalaca da malver testiraju na ograničenoj grupi korisnika pre nego što prošire svoje "poslovanje" na druge zemlje.

Kao i mnogi drugi RAT-ovi, i ovaj se širi putem mejlova. Napadači su koristili dva primarna lanca infekcije, i oba su uključivala phishing mejlove agencija za nekretnine. Ključni element u mejlovima je poziv za proveru fakture klikom na link koji preusmerava korisnike na veb sajt koji proverava jezik sistema i pretraživač koji se koristi. Ako je operativni sistem potencijalne žrtve podešen na određeni jezik i žrtva otvori link u Edgeu, Firefoxu ili Chromeu, dobija zlonamerni PDF fajl koji inficira uređaj pomoću droppera ili programa za preuzimanje (downloader). Razlika između njih je minimalna: dropper odmah instalira trojanca, dok downloader prvo preuzima potrebne komponente sa servera napadača.

Pre pokretanja, i loader i dropper proveravaju da li sistem radi na virtuelnoj mašini, kao i jezik OS-a. Ako su oba uslova ispunjena, uređaj je zaražen.

Korisnici koji ne ispunjavaju ove kriterijume se preusmeravaju na veb sajt FattureInCloud, italijansko rešenje u oblaku za skladištenje i upravljanje digitalnim fakturama. Ovo omogućava napadačima da ciljaju samo određenu publiku - svi ostali su preusmereni na legitimni veb sajt.

Ko stoji iza SambaSpy za sada nije jasno, ali posredni dokazi govore da napadači govore brazilski portugalski. Takođe se zna da isti napadači već proširuju svoje operacije na Španiju i Brazil, i da nove kampanje više ne uključuju proveru jezika.

Kako se zaštititi od SambaSpy?

Istraživači kažu da je ključni detalj ove priče metod infekcije, koji sugeriše da bi svako, u bilo kom delu sveta, koji govori bilo koji jezik, mogao biti meta sledeće kampanje. Za napadače nije bitno ko je žrtva, niti su detalji u mejlovima koje šalju važni. Danas bi to mogla biti faktura agencije za nekretnine, sutra poresko obaveštenje, a dan nakon toga avio karte ili putni vaučeri. Zato uvek budite oprezni sa phishing mejlovima i pre nego što kliknete na link u mejlu, zastanite na trenutak i zapitajte se da li bi mogla biti u pitanju prevara.

Foto: Sebastian Molina fotografía | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje