20/09/24
Эксперты по кибербезопасности из «Лаборатории Касперского» обнаружили новое вредоносное ПО под названием SambaSpy, представляющий угрозу для пользователей в Италии. Этот троян удалённого доступа (RAT) используется хакерами для полного контроля над устройствами жертв, пишет Securitylab.
С помощью SambaSpy злоумышленники могут управлять файлами, загружать и скачивать данные, делать снимки экрана, контролировать веб-камеру, воровать пароли и заниматься кейлоггингом. SambaSpy оказался сложным для обнаружения, поскольку использует методы маскировки, такие как Zelix KlassMaster, что затрудняет его выявление и анализ. Однако специалисты всё равно смогли раскрыть его функциональные возможности и методы распространения.
Рассмотренная вредоносная кампания ориентирована исключительно на итальянских пользователей, что необычно, поскольку злоумышленники чаще выбирают более широкие цели. Скорее всего, это связано с тестированием новых методов перед более масштабной атакой на пользователей в других странах. Так, исследователям уже известно, что хакеры начали расширять свои действия на Испанию и Бразилию.
Троян распространяется через фишинговые письма, замаскированные под коммуникации от агентства недвижимости. Пользователям предлагается открыть счёт, кликнув по ссылке, которая перенаправляет на вредоносный сайт. Если операционная система настроена на итальянский язык и используется браузер Edge, Firefox или Chrome, загружается заражённый PDF-файл, который внедряет троян. В других случаях пользователи перенаправляются на законный сайт FattureInCloud.
Исследователи пока не выяснили, какая хакерская группа стоит за этим трояном, но предполагается, что хакеры говорят на бразильском варианте португальского языка. Специалисты обнаружили схожие вредоносные домены, указывающие на начало атак в других странах.
Троян может быть скрыт за разными фишинговыми уловками — от счётов до уведомлений налоговых органов или билетов на авиарейсы.
