Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una sofisticata campagna di distribuzione malware rivolta esclusivamente agli utenti italiani
A differenza della maggior parte degli attacchi malware che mirano a più Paesi e utilizzano diverse lingue, la campagna SambaSpy si distingue per la precisione dei suoi obiettivi. Il malware è stato progettato per colpire solo gli utenti i cui sistemi sono impostati in italiano, garantendo la massima probabilità di successo in questa regione. Secondo la telemetria di Kaspersky, questa campagna è iniziata nel maggio 2024 e non mostra segni di rallentamento.
“Siamo stati sorpresi dal target ristretto di questo attacco. Di solito i criminali informatici mirano a infettare il maggior numero di utenti possibile, ma la catena di infezione di SambaSpy include controlli specifici per garantire che vengano colpiti solo gli utenti italiani”, ha commentato Giampaolo Dedola, Lead Cybersecurity Researcher di Kaspersky GReAT.
Kaspersky ha identificato due catene di infezione leggermente diverse utilizzate nella campagna. Un metodo di infezione particolarmente elaborato inizia con un’email di phishing, che sembra provenire da una società immobiliare italiana legittima. L’email invita gli utenti a visualizzare una fattura cliccando su un link, che reindirizza gli utenti a un servizio cloud italiano legittimo utilizzato per la gestione delle fatture.
Tuttavia, alcuni utenti vengono invece reindirizzati a un server Web dannoso, in cui il malware convalida le impostazioni del browser e della lingua. Se l’utente utilizza Edge, Firefox o Chrome in lingua italiana, viene indirizzato a un URL OneDrive contenente un PDF dannoso. In questo modo viene avviato il download di un dropper o di un downloader, entrambi in grado di scaricare il RAT SambaSpy.
SambaSpy è un RAT completo scritto in Java e nascosto utilizzando Zelix KlassMaster. Questo malware avanzato può eseguire una serie di attività dannose, tra cui:
- Gestione del file system e dei processi
- Controllo della webcam
- Registrazione dei tasti e manipolazione della clipboard
- Gestione del desktop da remoto
- Furto di password dai principali browser come Chrome, Edge e Opera
- Caricamento e download di file
- Possibilità di caricare plugin aggiuntivi in fase di esecuzione
Il meccanismo di caricamento dei plugin di SambaSpy e l’uso di library come JNativeHook dimostrano il livello di sofisticatezza impiegato dagli aggressori.
Sebbene l’obiettivo principale siano gli utenti italiani, i ricercatori di Kaspersky hanno individuati forti collegamenti con il Brasile. I commenti e i messaggi di errore all’interno del codice maligno sono scritti in portoghese brasiliano, suggerendo che l’attore della minaccia dietro gli attacchi potrebbe essere brasiliano. Inoltre, l’infrastruttura utilizzata nella campagna è stata collegata ad altri attacchi in Brasile e Spagna, anche se gli strumenti di infezione in queste regioni differiscono leggermente da quelli utilizzati in Italia.
Per migliorare la sicurezza dell’azienda, Kaspersky consiglia di:
- Non utilizzare i servizi di remote desktop, come RDP, su reti pubbliche se non assolutamente necessario e scegliere sempre password forti.
- Assicurarsi che la propria VPN commerciale e altre soluzioni software lato server siano sempre aggiornate, poiché lo sfruttamento di questo tipo di software è un vettore comune di infezione da ransomware. Aggiornare sempre le applicazioni lato client.
- Concentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati verso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici. Eseguire regolarmente il backup dei dati. Assicurarsi di potervi accedere rapidamente in caso di emergenza. Utilizzare le ultime informazioni di Threat Intelligence per essere sempre aggiornati sulle ultime TTP utilizzate dagli attori delle minacce.
- Utilizzare servizi di Managed Detection and Response per identificare e bloccare un attacco nelle fasi iniziali, prima che gli aggressori raggiungano i loro obiettivi finali.
- Per proteggere le aziende, è importante formare i dipendenti. Possono essere utili i corsi di formazione dedicati, come quelli forniti da Kaspersky Automated Security Awareness Platform.
- Utilizzare soluzioni di sicurezza complesse, che combinino protezione degli endpoint e funzioni di automated incident response, come Kaspersky Next.
 di Kaspersky ha scoperto una sofisticata campagna di distribuzione malware rivolta esclusivamente agli utenti italiani){kind=link}