Laboratório de SI detecta novo trojan espião brasileiro atacando usuários na Itália

Kaspersky alerta que o trojan SambaSpy utiliza sofisticado mecanismo de carregamento de plug-ins e está associado a campanhas anteriores no Brasil e na Espanha

Compartilhar:

A Kaspersky descobriu uma campanha sofisticada de malware que distribui o SambaSpy, trojan de acesso remoto (RAT), que tem como alvo clientes de bancos italianos. Esse malware é capaz de controlar webcams, roubar senhas e acessar remotamente os sistemas das vítimas. A investigação também revelou que o esquema tem vínculos com o Brasil, já que o código malicioso contém mensagens em português brasileiro, sugerindo uma possível origem do país dos criminosos.

 

Diferente da maioria dos ataques de malware, que forma uma ampla rede de alvos englobando vários países e idiomas, a campanha SambaSpy destaca-se por sua precisão. O malware foi projetado para infectar apenas usuários cujos sistemas estão definidos para o italiano, garantindo a máxima probabilidade de sucesso na Itália. De acordo com a telemetria da Kaspersky, essa campanha começou em maio de 2024 e não mostra qualquer sinal de desaceleração.

 

Embora o foco principal seja a Itália, os pesquisadores da Kaspersky identificaram vínculos significativos com o Brasil. O código malicioso contém comentários e mensagens de erro escritos em português do Brasil, sugerindo que os agentes de ameaça por trás dos ataques podem ser brasileiros. Além disso, a infraestrutura usada na campanha foi associada a outros ataques no Brasil e na Espanha, embora as ferramentas de infecção nessas regiões sejam um pouco diferentes das utilizadas na Itália.

 

A Kaspersky identificou duas cadeias de infecção ligeiramente diferentes que foram utilizadas nesta campanha. A primeira, um método de infecção especialmente elaborado que começa com um e-mail de phishing que parece vir de uma empresa imobiliária italiana legítima. O e-mail solicita que o usuário clique em um link incorporado para visualizar uma fatura. Esse link redireciona o usuário para um serviço de nuvem italiano válido, usado para gerenciar faturas.

 

No entanto, na segunda cadeia de infecção, determinados usuários são redirecionados para um servidor web malicioso, onde o malware valida as configurações do navegador e de idioma. Se o usuário tiver o Edge, o Firefox ou o Chrome configurados para o idioma italiano, será direcionado para uma URL maliciosa do OneDrive, que contém um PDF nocivo. Isso inicia o download de um arquivo que, posteriormente, transmite o RAT do SambaSpy.

 

Esse malware avançado é capaz de realizar diversas atividades maliciosas, que vão de controle de webcams até manipulação da área de transferência, gerenciamento remoto, roubo de senhas e download de arquivos. O mecanismo de carregamento de plug-ins do SambaSpy e o uso de bibliotecas como JNativeHook demonstram o nível de sofisticação empregado pelos golpistas.

 

“Normalmente, os cibercriminosos visam infectar o maior número possível de usuários, mas a cadeia de infecção do SambaSpy inclui verificações específicas para assegurar que apenas usuários italianos sejam afetados”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina. “Embora o foco principal seja a Itália, as evidências de envolvimento brasileiro nos métodos dos atacantes nos mostram que devemos permanecer vigilantes e adotar práticas seguras online.”

 

Para maximizar a segurança, a Kaspersky recomenda não clicar em links ou abra anexos de remetentes desconhecidos; manter sistemas e aplicativos atualizados para evitar vulnerabilidades; usar softwarse de segurança confiável com proteção contra malwares; adotar senhas únicas com autenticação em dois fatores; e evitar conexões Wi-Fi públicas sem VPN.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Estratégia de brushing é usada para fraudes em operações e-commerce, mostra análise

Relatório revela que diversas fraudes podem começar em uma entrega após a compra não realizada em e-commerce, o "brushing" é...
Security Report | Overview

União Europeia caminha para reconhecer equivalência entre LGPD e GDPR

Segundo relatório a iniciativa divulgada pela União Europeia reconhece que o nível de proteção de dados assegurado no Brasil pode...
Security Report | Overview

93% dos ciberataques no varejo são considerados simples e pouco sofisticados, afirma pesquisa

Levantamento  mostra como o setor segue na mira dos ciberataques e crimes virtuais, assombrando empresas e consumidores
Security Report | Overview

Pesquisa: Apenas 30% das empresas possuem cadeia de comando específica para ataques cibernéticos

Durante o VeeamON Tour Brasil, evento que a Veeam Software promove na capital paulista. Na oportunidade, centenas de executivos do...