SambaSpy je zlonamjerni softver poznat kao RAT (Remote Access Trojan), koji omogućuje napadačima daljinski pristup zaraženim uređajima. Prvi put je zabilježen u svibnju ove godine, kada je bio korišten u ciljanoj kampanji protiv korisnika u Italiji. SambaSpy je bogat funkcionalnostima, a njegova maskiranost putem Zelix KlassMaster alata otežava njegovo otkrivanje i analizu. Ovaj trojanac može upravljati sustavom, kontrolirati web kameru, snimati zaslon, krasti lozinke i upravljati zaraženim uređajima na daljinu.
Kako SambaSpy djeluje?
Napadači često ciljaju široku publiku, ali prvi slučajevi korištenja SambaSpy trojanca u svibnju fokusirali su se samo na jednu zemlju – Italiju. Istraživači pretpostavljaju da je to bio pokušaj testiranja malvera na manjoj skupini korisnika prije širenja na globalnu razinu. Kao i mnogi drugi RAT-ovi, SambaSpy se širi putem phishing e-mailova. U ovoj kampanji napadači su koristili e-mailove koji su izgledali kao poruke od agencija za nekretnine, a korisnici su bili pozvani da provjere fakture putem linka u poruci.
Klikom na link korisnici su preusmjereni na web stranicu koja provjerava jezik operativnog sustava i preglednik. Ako je sustav postavljen na određeni jezik i korisnik koristi Edge, Firefox ili Chrome, zlonamjerni PDF fajl se preuzima i inficira uređaj putem droppera ili downloadera. Dropper odmah instalira trojanca, dok downloader preuzima dodatne komponente s napadačevog servera.
Proces infekcije i ciljane žrtve
Prije nego što trojanac aktivira svoju zlonamjernu funkcionalnost, dropper i loader provjeravaju radi li sustav na virtualnoj mašini i koji je jezik OS-a. Ako uređaj ispunjava uvjete, infekcija se nastavlja, dok se svi ostali korisnici preusmjeravaju na legitimnu web stranicu FattureInCloud, talijansku platformu za upravljanje digitalnim fakturama.
Ovaj način rada omogućuje napadačima da precizno ciljaju određenu publiku. Iako nije jasno tko stoji iza SambaSpy napada, postoje dokazi koji sugeriraju da napadači govore portugalski, specifično brazilski dijalekt. Također je potvrđeno da proširuju svoje operacije na Španjolsku i Brazil, te da u novijim kampanjama više ne provode jezičnu provjeru.
Kako se zaštititi od SambaSpy trojanca?
Ključna metoda širenja SambaSpy malvera je phishing e-mail. Istraživači upozoravaju da iako je prvotna kampanja bila usmjerena na Italiju, svatko može postati meta u budućnosti. Napadači ne biraju specifične žrtve, već šalju masovne poruke u nadi da će netko nasjesti na prijevaru. Danas to može biti lažna faktura agencije za nekretnine, a sutra porezno obavještenje ili lažne avionske karte.
Koraci za zaštitu:
- Pažljivo provjeravajte e-mailove – Prije nego što kliknete na bilo koji link u e-mailu, razmislite o legitimnosti poruke. Ako se radi o neočekivanom zahtjevu ili nepoznatom pošiljatelju, velika je vjerojatnost da je riječ o prijevari.
- Koristite antivirusni softver – Ažurirani antivirusni programi mogu otkriti i blokirati poznate malvere, uključujući SambaSpy.
- Redovito ažurirajte sustav – Ažuriranja operativnog sustava i softvera često uključuju sigurnosne zakrpe koje mogu spriječiti zlonamjerne napade.
- Budite oprezni s privicima – Zlonamjerni softver često dolazi u privitcima e-mailova. Ne otvarajte privitke od nepoznatih pošiljatelja.
Pravilna edukacija i svijest o ovakvim prijetnjama ključni su u zaštiti od cyber napada.
