Um malware anteriormente não documentado chamado SambaSpy está visando exclusivamente usuários na Itália por meio de uma campanha de phishing orquestrada por um ator de ameaças suspeito de falar português brasileiro.
"Atores de ameaças geralmente tentam abranger uma grande área para maximizar seus lucros, mas esses atacantes estão focados em apenas um país", disse Kaspersky em uma nova análise.
É provável que os atacantes estejam testando as águas com usuários italianos antes de expandir sua operação para outros países.
O ponto de partida do ataque é um e-mail de phishing que inclui um anexo HTML ou um link embutido que inicia o processo de infecção.
Caso o anexo HTML seja aberto, um arquivo ZIP contendo um downloader intermediário ou dropper é usado para implantar e iniciar o payload do RAT multifuncional.
O downloader, por sua vez, é responsável por buscar o malware de um servidor remoto.
O dropper, por outro lado, faz a mesma coisa, mas extrai o payload do arquivo em vez de recuperá-lo de um local externo.
A segunda cadeia de infecção com o link armadilhado é muito mais elaborada, uma vez que clicar nele redireciona o usuário para uma fatura legítima hospedada no FattureInCloud se eles não forem o alvo pretendido.
Em um cenário alternativo, clicar no mesmo URL leva a vítima para um servidor web malicioso que serve uma página HTML com código JavaScript contendo comentários escritos em português brasileiro.
"Isso redireciona os usuários para uma URL maliciosa do OneDrive, mas apenas se eles estiverem usando Edge, Firefox ou Chrome com seu idioma definido para italiano", disse o fornecedor russo de cibersegurança.
Se os usuários não passarem por essas verificações, eles permanecem na página.
Os usuários que atendem a esses requisitos são servidos com um documento PDF hospedado no Microsoft OneDrive que instrui os usuários a clicar em um hiperlink para visualizar o documento, após o qual são levados a um arquivo JAR malicioso hospedado no MediaFire contendo o downloader ou o dropper como antes.
Um RAT totalmente equipado desenvolvido em Java, o SambaSpy é nada menos que um canivete suíço que pode lidar com a gestão do sistema de arquivos, gestão de processos, gestão de desktop remoto, upload/download de arquivos, controle de webcam, keylogging e rastreamento da área de transferência, captura de tela e shell remoto.
Ele também está equipado para carregar plugins adicionais em tempo de execução, lançando um arquivo no disco previamente baixado pelo RAT, permitindo aumentar suas capacidades conforme necessário.
Além disso, ele é projetado para roubar credenciais de navegadores da web como Chrome, Edge, Opera, Brave, Iridium e Vivaldi.
As evidências da infraestrutura sugerem que o ator de ameaças por trás da campanha também está de olho no Brasil e na Espanha, apontando para uma expansão operacional.
"Há várias conexões com o Brasil, como artefatos de linguagem no código e domínios mirando usuários brasileiros", disse Kaspersky.
Isso se alinha com o fato de que atacantes da América Latina frequentemente visam países europeus com idiomas estreitamente relacionados, nomeadamente Itália, Espanha e Portugal.
O desenvolvimento ocorre semanas depois de a Trend Micro alertar sobre um aumento nas campanhas que entregam trojans bancários como BBTok, Grandoreiro e Mekotio visando a região da América Latina por meio de golpes de phishing que utilizam transações comerciais e transações relacionadas a questões judiciais como iscas.
Mekotio "emprega uma nova técnica onde o script PowerShell do trojan agora é ofuscado, aumentando sua capacidade de evasão à detecção", disse a empresa, destacando o uso de links de phishing pelo BBTok para baixar arquivos ZIP ou ISO contendo arquivos LNK que atuam como um ponto de gatilho para as infecções.
O arquivo LNK serve para avançar para a próxima etapa, lançando o binário legítimo MSBuild.exe, que está presente dentro do arquivo ISO.
Subsequentemente, carrega um arquivo XML malicioso também escondido dentro do arquivo ISO, que então utiliza rundll32.exe para lançar o payload DLL do BBTok.
"Ao usar a utilidade legítima do Windows MSBuild.exe, os atacantes conseguem executar seu código malicioso enquanto evitam a detecção", observou a Trend Micro.
As cadeias de ataque associadas ao Mekotio começam com uma URL maliciosa no e-mail de phishing que, quando clicada, direciona o usuário para um site falso que entrega um arquivo ZIP, o qual contém um arquivo batch projetado para executar um script PowerShell.
O script PowerShell age como um downloader de segundo estágio para lançar o trojan por meio de um script AutoHotKey, mas não antes de realizar um reconhecimento do ambiente da vítima para confirmar que está, de fato, localizado em um dos países alvo.
"Golpes de phishing mais sofisticados visando usuários da América Latina para roubar credenciais bancárias sensíveis e realizar transações bancárias não autorizadas sublinham a necessidade urgente de medidas de cibersegurança aprimoradas contra métodos cada vez mais avançados empregados por cibercriminosos", disseram os pesquisadores da Trend Micro.
Esses trojans [têm] se tornado cada vez mais aptos a evadir detecção e roubar informações sensíveis enquanto as gangues por trás deles se tornam mais ousadas ao visar grupos maiores para mais lucro.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...