Campanha de Malware Exclusiva na Itália Surpreende Especialistas da Kaspersky

Usuários de internet da Europa, especificamente Itália, são alvos de um novo malware chamado SambaSpy. O nome é referência ao seu país de origem: o Brasil.

 

O modus operandi do SambaSpy segue o padrão do “melhor” que o cibercriminoso brasileiro costuma produzir, que é o phishing. Phishing são aquelas mensagens falsas com textos incríveis que forçam a vítima a realizar um click ou toque para baixar um vírus ou entregar dados pessoais.

Em um relatório chamado “Exótico, SambaSpy agora está dançando com usuários italianos”, a empresa de cibersegurança Kaspersky detalha como o malware age e o que ele captura.

A Kaspersky relatou que, em maio, detectou uma campanha direcionada exclusivamente a vítimas na Itália. “Ficamos surpresos porque os cibercriminosos geralmente escolhem um alvo mais amplo para maximizar seus lucros. Por exemplo, um tipo específico de malware pode visar usuários na França e na Espanha, com e-mails de phishing escritos em ambos os idiomas. No entanto, para essa campanha, o código do malware não inclui verificações específicas para garantir que funcione apenas nesses dois países. O que diferencia essa campanha é que, em várias fases da cadeia de infecção, são realizadas verificações para garantir que apenas usuários italianos sejam infectados. Isso nos levou a investigar mais a fundo e descobrir que os invasores estavam entregando um novo RAT como carga final, que apelidamos de SambaSpy”, afirmou a empresa.

RAT é um tipo de cavalo de troia (trojan) de acesso remoto. Ele permite que cibercriminosos tenham a capacidade controlar o dispositivo infectado sem acesso físico. Dessa maneira, o programa malicioso funciona como um espião: ele não só rouba dados, como pode acompanhar mensagens, ler e-mails, ver fotos e acompanhar informações bancárias.

O samba

O ataque do SambaSpy começa com e-mails Phishings disparados para as vítimas. Neles, um anexo HTML ou link agregado, é o responsável para iniciar a infecção: ele oferece um arquivo ZIP que baixa o malware e sua ativação é feita.

A indicação de autoria brasileira acontece porque, em alguns cenários, o link agregado no email redireciona a vítima para um servidor web com código JavaScript. Nesse código, existem comentários escritos em português.

No geral, o SambaSpy foi desenvolvido para roubar credenciais de navegadores como Chrome, Edge, Opera, Brave, Iridium e Vivaldi.

A Kasperksy ainda detalhou mais sobre suas capacidades: gerenciamento de arquivos de sistema e processos, baixar e subir arquivos, controle de webcam, controle do clipboard, realizar capturas de tela, gerenciamento remoto, roubo de senhas, adicionar plugins, iniciar shell remota e até interação com a vítima.

“Existem várias conexões com o Brasil, como artefatos de linguagem no código e domínios direcionados a usuários brasileiros”, relata a empresa. “Isto está de acordo com o fato de que os atacantes da América Latina muitas vezes têm como alvo países europeus com línguas estreitamente relacionadas, como Itália, Espanha e Portugal”.

No relatório, a empresa também finaliza comentando que os cibercriminosos por trás do SambaSpy alteram de modo contínuo seus métodos de ofuscação, endpoints C2 e textos phishing. Por isso, para se proteger de golpes do tipo, siga os seguintes passos:

  • Não acredite em mensagens incríveis que possam chegar aos seus e mails, SMS e apps de mensagens (e não clique em link ou realize downloads)
  • Utilize um antivírus no seu dispositivo
  • Utilize fator de autenticação em duas etapas em app terceiro em todas as suas contas.
Postado em Notícias, Tera Talks.