Gli esperti di Kaspersky hanno individuato un malware che prende di mira solo gli utenti italiani. Ignoti cybercriminali hanno usato SambaSpy dal mese di maggio per rubare credenziali e altri dati sensibili. Sono state rilevate sue distinte catene di infezione, ma tutti gli attacchi iniziano con il tradizionale phishing.
Funzionalità di SambaSpy
I malware “specializzati” per un singolo paese sono molto rari, in quanto i cybercriminali cercano sempre di massimizzare i profitti. SambaSpy colpisce invece solo gli utenti italiani. L’attacco inizia con l’invio di un’email di phishing da un indirizzo tedesco. Il contenuto, scritto ovviamente in italiano, cita una presunta fattura in PDF che può essere scaricata cliccando su un pulsante/link.
Alcuni utenti vengono reindirizzati su FattureinCloud, un servizio legittimo che permette di conservare le fatture. In altri casi viene mostrato un documento PDF ospitato su OneDrive. Se l’ignara vittima clicca sul link “Visualizza il documento” viene eseguito un file JAR scaricato da MediaFire. Il payload finale è SambaSpy, un RAT scritto in Java con diverse funzionalità.
Il malware può accedere a processi e file system, caricare/scaricare file, controllare la webcam, registrare i tasti premuti, catturare screenshot, rubare le credenziali dal browser, installare plugin e attivare il controllo remoto del computer.
Per evitare rischi è necessario seguire alcuni consigli, come verificare il mittente dell’email, non cliccare su link nel messaggio e installare una soluzione di sicurezza aggiornata.