Il nuovo malware SambaSpy colpisce solo gli utenti italiani

SambaSpy è un malware sofisticato, che ha preso di mira gli utenti italiani con un attacco RAT personalizzato e di alta precisione.

Avatar di Marco Pedrani

a cura di Marco Pedrani

Caporedattore centrale

Un sofisticato attacco informatico ha preso di mira esclusivamente gli utenti italiani, secondo quanto rivelato da Kaspersky Labs. La campagna malware, denominata SambaSpy, si distingue per la sua precisione nel colpire solo sistemi con lingua impostata sull'italiano, utilizzando un nuovo Trojan ad accesso remoto (RAT).

Questo tipo di attacco mirato a una specifica nazione è insolito nel panorama delle minacce informatiche. Gli aggressori hanno implementato molteplici controlli durante il processo di infezione per verificare che la lingua del sistema fosse l'italiano, interrompendo l'esecuzione del malware in caso contrario.

Meccanismo di diffusione e capacità del malware

SambaSpy viene diffuso tramite email malevole che sembrano provenire da una legittima azienda immobiliare italiana. Le email contengono un link apparentemente innocuo per visualizzare una fattura, che in realtà reindirizza gli utenti verso un file JAR infetto.

Una volta installato, SambaSpy concede agli attaccanti un controllo quasi totale sul dispositivo compromesso. Scritto in Java e offuscato con il protettore Zelix KlassMaster, il malware è in grado di gestire file e processi, caricare e scaricare file, controllare la webcam, registrare i tasti premuti e ciò che viene copiato negli appunti, catturare schermate, rubare le credenziali dal browser, eseguire operazioni di desktop remoto e anche avviare una shell remota. 

Una catena di infezione sofisticata

Kaspersky ha identificato due catene di infezione, entrambe iniziate con un'email. Nel caso più elaborato, la vittima riceve un'email da un indirizzo tedesco ma scritta in italiano, che la invita a visualizzare una fattura. Cliccando sul link, l'utente viene reindirizzato a un legittimo servizio italiano di fatturazione cloud, FattureInCloud, per mostrare una vera fattura.

Tuttavia, dietro le quinte, le vittime che soddisfano il controllo della lingua italiana vengono reindirizzate a un link OneDrive malevolo, che porta al dropper di SambaSpy. Se il sistema della vittima non corrisponde a criteri specifici, come l'utilizzo di Edge, Chrome o Firefox con la lingua impostata sull'italiano, l'infezione non avviene.

Possibili collegamenti internazionali

Nonostante il focus esclusivo sulle vittime italiane, Kaspersky ha trovato tracce che puntano al Brasile. Elementi in portoghese brasiliano, come commenti nel codice e messaggi di errore, sono stati trovati nel malware e nei domini malevoli. L'infrastruttura della campagna contiene anche collegamenti ad altri paesi, tra cui la Spagna, suggerendo che gli attaccanti potrebbero avere ambizioni più ampie oltre l'Italia.

Leggi altri articoli