Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Opisi virusa, 23.09.2024, 11:00 AM

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je korišćen u kampanji koja je bila usmerena isključivo na korisnike u Italiji.

SambaSpy je RAT trojanac bogat funkcijama, zamaskiran korišćenjem Zelix KlassMastera, što otkrivanje i analizu malvera značajno otežava. Međutim, tim istraživača kompanije Kaspersky je analizirajući SambaSpy otkrio da je ovaj novi RAT sposoban za upravljanje sistemom i procesima, preuzimanje i otpremanje fajlova, kontrolisanje veb kamere, pravljenje snimaka ekrana, krađu lozinki, učitavanje dodataka, daljinsko upravljanje zaraženim uređajem, evidentiranje pritiska na tastere itd.

Sajber kriminalci obično pokušavaju da zabace široku mrežu kako bi što više zaradili, ali oni koji su u maju prvi koristili ovaj malver bili su fokusirani samo na jednu zemlju. Istraživači pretpostavljaju da je razlog za to namera sajber kriminalaca da malver testiraju na ograničenoj grupi korisnika pre nego što prošire svoje "poslovanje" na druge zemlje.

Kao i mnogi drugi RAT-ovi, i ovaj se širi putem mejlova. Napadači su koristili dva primarna lanca infekcije, i oba su uključivala phishing mejlove agencija za nekretnine. Ključni element u mejlovima je poziv za proveru fakture klikom na link koji preusmerava korisnike na veb sajt koji proverava jezik sistema i pretraživač koji se koristi. Ako je operativni sistem potencijalne žrtve podešen na određeni jezik i žrtva otvori link u Edgeu, Firefoxu ili Chromeu, dobija zlonamerni PDF fajl koji inficira uređaj pomoću droppera ili programa za preuzimanje (downloader). Razlika između njih je minimalna: dropper odmah instalira trojanca, dok downloader prvo preuzima potrebne komponente sa servera napadača.

Pre pokretanja, i loader i dropper proveravaju da li sistem radi na virtuelnoj mašini, kao i jezik OS-a. Ako su oba uslova ispunjena, uređaj je zaražen.

Korisnici koji ne ispunjavaju ove kriterijume se preusmeravaju na veb sajt FattureInCloud, italijansko rešenje u oblaku za skladištenje i upravljanje digitalnim fakturama. Ovo omogućava napadačima da ciljaju samo određenu publiku - svi ostali su preusmereni na legitimni veb sajt.

Ko stoji iza SambaSpy za sada nije jasno, ali posredni dokazi govore da napadači govore brazilski portugalski. Takođe se zna da isti napadači već proširuju svoje operacije na Španiju i Brazil, i da nove kampanje više ne uključuju proveru jezika.

Kako se zaštititi od SambaSpy?

Istraživači kažu da je ključni detalj ove priče metod infekcije, koji sugeriše da bi svako, u bilo kom delu sveta, koji govori bilo koji jezik, mogao biti meta sledeće kampanje. Za napadače nije bitno ko je žrtva, niti su detalji u mejlovima koje šalju važni. Danas bi to mogla biti faktura agencije za nekretnine, sutra poresko obaveštenje, a dan nakon toga avio karte ili putni vaučeri. Zato uvek budite oprezni sa phishing mejlovima i pre nego što kliknete na link u mejlu, zastanite na trenutak i zapitajte se da li bi mogla biti u pitanju prevara.

Foto: Sebastian Molina fotografía | Unsplash