Un malware previamente no documentado llamado SambaSpy está apuntando exclusivamente a usuarios en Italia a través de una campaña de phishing orquestada por un presunto actor de amenazas que habla portugués brasileño.
“Los actores de amenazas generalmente intentan lanzar una red amplia para maximizar sus ganancias, pero estos atacantes se centran en un solo país”, dijo Kaspersky dicho En un nuevo análisis, se afirma que “es probable que los atacantes estén tanteando el terreno con usuarios italianos antes de expandir sus operaciones a otros países”.
El punto de partida del ataque es un correo electrónico de phishing que incluye un archivo adjunto en formato HTML o un enlace integrado que inicia el proceso de infección. Si se abre el archivo adjunto en formato HTML, se utiliza un archivo ZIP que contiene un programa de descarga o un dropper provisional para implementar y ejecutar la carga útil del RAT multifuncional.
El downloader, por su parte, se encarga de obtener el malware de un servidor remoto. El dropper, por otro lado, hace lo mismo, pero extrae el payload del archivo en lugar de recuperarlo de una ubicación externa.
La segunda cadena de infección con el enlace trampa es mucho más elaborada, ya que al hacer clic en él se redirige al usuario a una factura legítima alojada en FattureInCloud si no es el objetivo previsto.
En un escenario alternativo, al hacer clic en la misma URL, la víctima es dirigida a un servidor web malicioso que ofrece una página HTML con código JavaScript que incluye comentarios escritos en portugués brasileño.
“Redirige a los usuarios a una URL maliciosa de OneDrive, pero solo si utilizan Edge, Firefox o Chrome con el idioma configurado en italiano”, dijo el proveedor de ciberseguridad ruso. “Si los usuarios no pasan estas comprobaciones, permanecen en la página”.
A los usuarios que cumplen estos requisitos se les entrega un documento PDF alojado en Microsoft OneDrive que les indica que deben hacer clic en un hipervínculo para ver el documento, después de lo cual se les dirige a un archivo JAR malicioso alojado en MediaFire que contiene el descargador o el cuentagotas como antes.
SambaSpy es un troyano de acceso remoto repleto de funciones desarrollado en Java, nada menos que una navaja suiza que puede manejar la administración del sistema de archivos, la administración de procesos, la administración de escritorio remoto, la carga/descarga de archivos, el control de la cámara web, el registro de teclas y el seguimiento del portapapeles, la captura de capturas de pantalla y el shell remoto.
También está equipado para cargar complementos adicionales en tiempo de ejecución mediante el lanzamiento de un archivo en el disco previamente descargado por el RAT, lo que le permite aumentar sus capacidades según sea necesario. Además de eso, está diseñado para robar credenciales de navegadores web como Chrome, Edge, Opera, Brave, Iridium y Vivaldi.
La evidencia de infraestructura sugiere que el actor de amenazas detrás de la campaña también está apuntando a Brasil y España, lo que apunta a una expansión operativa.
“Existen diversas conexiones con Brasil, como artefactos lingüísticos en el código y dominios que apuntan a usuarios brasileños”, afirmó Kaspersky. “Esto coincide con el hecho de que los atacantes de América Latina suelen apuntar a países europeos con idiomas estrechamente relacionados, a saber, Italia, España y Portugal”.
Nuevas campañas de BBTok y Mekotio apuntan a América Latina
El desarrollo llega semanas después de que Trend Micro advirtiera sobre un aumento en las campañas que distribuyen troyanos bancarios como BBTok, Grandoreiro y Mekotio dirigidos a la región latinoamericana a través de estafas de phishing que utilizan transacciones comerciales y transacciones judiciales como señuelos.
Mekotio “emplea una nueva técnica donde el script de PowerShell del troyano ahora está ofuscado, mejorando su capacidad para evadir la detección”, dijo la compañía. dichodestacando el uso de enlaces de phishing por parte de BBTok para descargar archivos ZIP o ISO que contienen archivos LNK que actúan como un punto de activación para las infecciones.
El archivo LNK se utiliza para avanzar al siguiente paso ejecutando el binario legítimo MSBuild.exe, que se encuentra dentro del archivo ISO. Posteriormente, carga un archivo XML malicioso también oculto dentro del archivo ISO, que luego aprovecha rundll32.exe para ejecutar la carga útil de la DLL BBTok.
“Al utilizar la utilidad legítima de Windows MSBuild.exe, los atacantes pueden ejecutar su código malicioso y evadir la detección”, señaló Trend Micro.
Las cadenas de ataque asociadas con Mekotio comienzan con una URL maliciosa en el correo electrónico de phishing que, cuando se hace clic, dirige al usuario a un sitio web falso que entrega un archivo ZIP, que contiene un archivo por lotes diseñado para ejecutar un script de PowerShell.
El script de PowerShell actúa como un descargador de segunda etapa para ejecutar el troyano por medio de un script AutoHotKey, pero no antes de realizar un reconocimiento del entorno de la víctima para confirmar que efectivamente se encuentra en uno de los países objetivo.
“Las estafas de phishing más sofisticadas dirigidas a usuarios latinoamericanos para robar credenciales bancarias confidenciales y realizar transacciones bancarias no autorizadas subrayan la urgente necesidad de mejorar las medidas de ciberseguridad contra los métodos cada vez más avanzados empleados por los ciberdelincuentes”, dijeron los investigadores de Trend Micro.
“Estos troyanos [have] se han vuelto cada vez más hábiles para evadir la detección y robar información confidencial, mientras que las bandas detrás de ellos se vuelven más audaces al apuntar a grupos más grandes para obtener mayores ganancias”.