Сегодня поговорим о крысах, но не о тех, что с длинными хвостами, а о компьютерных —
Так называют трояны, которые позволяют злоумышленнику получить удаленный доступ к устройству. Обычно «крысы» умеют самостоятельно устанавливать и удалять программы, контролировать буфер обмена и считывать данные с клавиатуры.
В мае 2024 года в нашу крысоловку попался новый представитель RAT-троянов: SambaSpy. Как это вредоносное ПО проникает на устройства жертв и чем оно там занимается — в этой публикации.
Так чем же это хорошо? Вероятнее всего, злоумышленники тестируют свои гипотезы на итальянских пользователях, чтобы после распространить кампанию и на другие страны — а мы уже знаем о SambaSpy и умеем противостоять этому трояну. Поэтому все, что остается сделать нашим пользователям по всему миру — это позаботиться о
На первый взгляд письмо выглядит легитимным — вот только отправлено оно почему-то с немецкого почтового адреса, хоть и на итальянском языке
После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который, в свою очередь, проверяет язык системы и используемый браузер. Если у потенциальной жертвы в качестве системного был установлен итальянский язык, а ссылка открылась в браузерах Edge, Firefox или Chrome — ей отправлялся вредоносный PDF-файл, заражавший устройство дроппером или загрузчиком.
Перед началом работы и загрузчик, и дроппер дополнительно проверяли, не работает ли система на виртуальной машине и соблюдается ли главное условие: использование итальянского языка в качестве системного. Если да — устройство заражалось.
Пользователи, не подпадавшие под эти критерии, переадресовывались на сайт
Мы подготовили для вас несколько советов и рекомендаций, которые помогут в борьбе с SambaSpy.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
(remote access trojan). Так называют трояны, которые позволяют злоумышленнику получить удаленный доступ к устройству. Обычно «крысы» умеют самостоятельно устанавливать и удалять программы, контролировать буфер обмена и считывать данные с клавиатуры.
В мае 2024 года в нашу крысоловку попался новый представитель RAT-троянов: SambaSpy. Как это вредоносное ПО проникает на устройства жертв и чем оно там занимается — в этой публикации.
Что такое SambaSpy
SambaSpy — это многофункциональный RAT-троян,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
с помощью
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, что существенно затрудняет его обнаружение и анализ. Тем не менее мы справились с обеими задачами и выяснили, что новый RAT-троян умеет:- управлять файловой системой и процессами;
- загружать и выгружать файлы;
- управлять веб-камерой;
- делать скриншоты;
- красть пароли;
- загружать дополнительные плагины;
- удаленно управлять рабочим столом;
- регистрировать нажатия клавиш;
- управлять буфером обмена.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.Обнаруженная нами вредоносная кампания была нацелена на жертв исключительно в Италии. Вы удивитесь, но это на самом деле хорошая новость (для всех, кроме итальянцев): обычно атакующие стараются охватить как можно более широкую аудиторию, чтобы максимизировать прибыль, а тут под ударом только Италия.
Так чем же это хорошо? Вероятнее всего, злоумышленники тестируют свои гипотезы на итальянских пользователях, чтобы после распространить кампанию и на другие страны — а мы уже знаем о SambaSpy и умеем противостоять этому трояну. Поэтому все, что остается сделать нашим пользователям по всему миру — это позаботиться о
Для просмотра ссылки необходимо нажать
Вход или Регистрация
и со спокойной душой продолжать читать эту историю.Как злоумышленники распространяют SambaSpy
Если коротко — как и многие другие RAT-трояны, через почту. Атакующие использовали две основных цепочки заражения, и в обоих случаях отправляли своим жертвам фишинговые письма от лица агентства по продаже недвижимости. Главное в рассылке — призыв проверить счет-фактуру, кликнув по гиперссылке.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
На первый взгляд письмо выглядит легитимным — вот только отправлено оно почему-то с немецкого почтового адреса, хоть и на итальянском языке
После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который, в свою очередь, проверяет язык системы и используемый браузер. Если у потенциальной жертвы в качестве системного был установлен итальянский язык, а ссылка открылась в браузерах Edge, Firefox или Chrome — ей отправлялся вредоносный PDF-файл, заражавший устройство дроппером или загрузчиком.
Отличия между этими видами вредоносного ПО минимальны: дроппер сразу устанавливает троян, а загрузчик сначала скачивает необходимые компоненты с серверов злоумышленников.
Перед началом работы и загрузчик, и дроппер дополнительно проверяли, не работает ли система на виртуальной машине и соблюдается ли главное условие: использование итальянского языка в качестве системного. Если да — устройство заражалось.
Пользователи, не подпадавшие под эти критерии, переадресовывались на сайт
Для просмотра ссылки необходимо нажать
Вход или Регистрация
— итальянского облачного решения, используемого для хранения и управления цифровыми счетами. Эта хитрая маскировка позволила злоумышленникам атаковать только нужную аудиторию, а все остальные после клика по ссылке переходили на легитимный сайт.Кто стоит за RAT-трояном
Какая именно группировка распространяет SambaSpy, да еще и таким изощренным способом, — неизвестно. Пока по косвенным признакам нам удалось выяснить, что злоумышленники говорят на бразильском варианте португальского языка. Мы также знаем, что атакующие уже сейчас расширяют свою деятельность на Испанию и Бразилию, — об этом свидетельствуют вредоносные домены, используемые той же группировкой в других обнаруженных кампаниях. Кстати, языковой проверки в них уже нет.Как защититься от SambaSpy
Самое важное в этой истории — способ заражения. Он наталкивает на мысль, что жертвами следующей кампании могут стать жители любых стран, говорящие на любых языках. Для злоумышленников нет принципиальной разницы, кого конкретно атаковать, равно как не важна и суть фишингового письма: сегодня это якобы счет-фактура от компании по продаже недвижимости, завтра — письмо от налоговой, а послезавтра — билеты на самолет или туристические ваучеры.Мы подготовили для вас несколько советов и рекомендаций, которые помогут в борьбе с SambaSpy.
- Установите надёжное антивирусное решение, прежде, чем обнаружите
Для просмотра ссылки необходимо нажать Вход или Регистрациясвоего устройства.
- Всегда помните о фишинговых письмах. Перед тем как кликнуть по любой ссылке в почте, остановитесь на секунду и спросите себя: «А не пытаются ли меня обмануть?».
Для просмотра ссылки необходимо нажать
Вход или Регистрация