A Kaspersky Lab identificou um novo cavalo de Troia de acesso remoto (RAT), chamado SambaSpy, que se destaca pela seletividade de suas vítimas.
Sobre o SambaSpy
O SambaSpy é um RAT sofisticado, projetado com uma proteção adicional usando o Zelix KlassMaster, o que torna sua detecção e análise muito mais complexas. Este malware é capaz de:
- Gerenciar arquivos e processos do sistema;
- Baixar e enviar arquivos;
- Controlar a webcam;
- Realizar capturas de tela;
- Roubar senhas;
- Carregar plug-ins adicionais;
- Operar a área de trabalho remotamente;
- Gravar as teclas pressionadas;
- Controlar a área de transferência.
Essas capacidades tornam o SambaSpy extremamente perigoso, com potencial para atuar como uma ferramenta de espionagem completa.
Campanha de Ataque
A campanha de ataque detectada teve como alvo, de forma exclusiva, usuários na Itália. Embora seja incomum essa escolha específica, a hipótese mais plausível é que os agentes maliciosos estejam testando suas operações com um grupo limitado de vítimas antes de expandir para outros países.
Como o SambaSpy é Distribuído
Assim como outros RATs, o SambaSpy é propagado por e-mails de phishing. Nesta campanha, os e-mails simulavam comunicações de uma agência imobiliária e continham um link para supostas faturas. Esses e-mails, embora escritos em italiano, eram enviados de domínios alemães, o que pode levantar suspeitas.
Ao clicar no link, o usuário é direcionado a um site que verifica o idioma do sistema e o navegador. Caso o dispositivo esteja configurado para o idioma italiano e o navegador seja Edge, Firefox ou Chrome, o sistema será infectado por um arquivo PDF malicioso, responsável por instalar o dropper ou o downloader do SambaSpy. O dropper faz a instalação do malware imediatamente, enquanto o downloader obtém os componentes adicionais dos servidores dos atacantes.
Para evitar detecção, o SambaSpy verifica se o sistema está sendo executado em uma máquina virtual e se o idioma é italiano. Caso os critérios não sejam atendidos, o usuário é redirecionado ao site legítimo FattureInCloud.
Possíveis Autores e Expansão Geográfica
Ainda não foi possível identificar o grupo específico por trás da criação e disseminação do SambaSpy, mas evidências indicam que os invasores falam português brasileiro. Além disso, o grupo já expandiu as operações para outros países, como Espanha e Brasil, usando domínios maliciosos para atingir novos alvos.
Dicas de Proteção contra o SambaSpy
Para evitar infecções, é fundamental adotar práticas de segurança adequadas:
- Instalar uma solução de segurança confiável, como o Kaspersky Premium, que detecta e neutraliza o SambaSpy e outras ameaças;
- Manter atenção redobrada com e-mails de phishing. Antes de clicar em links suspeitos, sempre refletir sobre a possibilidade de fraude.
Essas práticas podem fazer toda a diferença na proteção contra esse sofisticado malware e outras ameaças.
