Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una sofisticata campagna di distribuzione malware rivolta esclusivamente agli utenti italiani. La campagna prevede la distribuzione di un nuovo Remote Access Trojan (RAT), chiamato dai ricercatori SambaSpy, con funzionalità quali il file system management, il controllo della webcam, il furto di password e la gestione del desktop da remoto.
"Siamo stati sorpresi dal target ristretto di questo attacco. Di solito i criminali informatici mirano a infettare il maggior numero di utenti possibile, ma la catena di infezione di SambaSpy include controlli specifici per garantire che vengano colpiti solo gli utenti italiani", ha commentato Giampaolo Dedola, Lead Cybersecurity Researcher di Kaspersky GReAT.
Kaspersky ha identificato due catene di infezione leggermente diverse utilizzate nella campagna. Un metodo di infezione particolarmente elaborato inizia con un’email di phishing, che sembra provenire da una società immobiliare italiana legittima. L’email invita gli utenti a visualizzare una fattura cliccando su un link, che reindirizza gli utenti a un servizio cloud italiano legittimo utilizzato per la gestione delle fatture.
Tuttavia, alcuni utenti vengono invece reindirizzati a un server Web dannoso, in cui il malware convalida le impostazioni del browser e della lingua. Se l’utente utilizza Edge, Firefox o Chrome in lingua italiana, viene indirizzato a un URL OneDrive contenente un PDF dannoso. In questo modo viene avviato il download di un dropper o di un downloader, entrambi in grado di scaricare il RAT SambaSpy.
SambaSpy è un RAT completo scritto in Java e nascosto utilizzando Zelix KlassMaster. Questo malware avanzato può eseguire una serie di attività dannose, tra cui:
- Gestione del file system e dei processi
- Controllo della webcam
- Registrazione dei tasti e manipolazione della clipboard
- Gestione del desktop da remoto
- Furto di password dai principali browser come Chrome, Edge e Opera
- Caricamento e download di file
- Possibilità di caricare plugin aggiuntivi in fase di esecuzione
Il meccanismo di caricamento dei plugin di SambaSpy e l’uso di library come JNativeHook dimostrano il livello di sofisticatezza impiegato dagli aggressori.
Il report completo su SambaSpy è disponibile su Securelist.
Per migliorare la sicurezza dell’azienda, Kaspersky consiglia di:
- Non utilizzare i servizi di remote desktop, come RDP, su reti pubbliche se non assolutamente necessario e scegliere sempre password forti.
- Assicurarsi che la propria VPN commerciale e altre soluzioni software lato server siano sempre aggiornate, poiché lo sfruttamento di questo tipo di software è un vettore comune di infezione da ransomware. Aggiornare sempre le applicazioni lato client.
- Concentrare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati verso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici. Eseguire regolarmente il backup dei dati. Assicurarsi di potervi accedere rapidamente in caso di emergenza. Utilizzare le ultime informazioni di Threat Intelligence per essere sempre aggiornati sulle ultime TTP utilizzate dagli attori delle minacce.
- Utilizzare servizi di Managed Detection and Response per identificare e bloccare un attacco nelle fasi iniziali, prima che gli aggressori raggiungano i loro obiettivi finali.
- Per proteggere le aziende, è importante formare i dipendenti. Possono essere utili i corsi di formazione dedicati, come quelli forniti da Kaspersky Automated Security Awareness Platform.
- Utilizzare soluzioni di sicurezza complesse, che combinino protezione degli endpoint e funzioni di automated incident response, come Kaspersky Next.