У вас завелась крыса: троянец SambaSpy атакует сотрудников компаний в Италии

Весной 2024 года эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили SambaSpy. Это троянец удалённого доступа (RAT) для ПК, который применяется в целевых кибератаках на итальянских пользователей. Однако, вероятно, злоумышленники таким образом тестируют зловред, чтобы позднее использовать его и в других странах.

Что умеет

SambaSpy может, в частности, управлять файловой системой и процессами, получает доступ к веб-камере и делает скриншоты, запоминает нажатия клавиш, управляет буфером обмена и удалённым рабочим столом, крадёт пароли из популярных браузеров — Chrome, Edge, Opera и других. К тому же троянец умеет загружать на устройство жертвы и скачивать с него файлы, загружать дополнительные плагины.

Как проникает на устройство

Атака начинается с фишингового письма якобы от итальянского агентства по недвижимости. Потенциальным жертвам предлагают просмотреть счёт, нажав на встроенную кнопку. На самом деле за ней скрывается ссылка. При нажатии на неё большинство пользователей окажутся на легальном облачном сервисе для управления счетами. Однако отдельные пользовали попадают на вредоносный веб-сервер, где вредоносный скрипт проверяет настройки браузера и языка. Если у пользователя браузеры Edge, Firefox или Chrome с настройками итальянского языка, он перенаправляется на облачное хранилище, где находится вредоносный PDF-файл. Если нажать на ссылку из этого документа, на устройство проникает дроппер либо загрузчик. Разница в том, что дроппер сразу устанавливает троянец, а загрузчик сначала скачивает необходимые компоненты с серверов злоумышленников.

«Основная цель кампании — итальянские пользователи. При этом наши эксперты предполагают, что за атаками стоят португалоговорящие злоумышленники, поскольку комментарии и сообщения об ошибках во вредоносном коде написаны на бразильском варианте португальского языка. К тому же инфраструктура, используемая злоумышленниками, была связана с другими атаками в Бразилии и Испании, хотя инструменты заражения в этих регионах несколько отличаются от тех, что используются в Италии», — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.