{"id":29201,"date":"2024-09-23T10:00:31","date_gmt":"2024-09-23T08:00:31","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29201"},"modified":"2024-09-23T10:02:07","modified_gmt":"2024-09-23T08:02:07","slug":"new-exotic-rat-sambaspy","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/new-exotic-rat-sambaspy\/29201\/","title":{"rendered":"SambaSpy: un nuovo trojan di accesso remoto"},"content":{"rendered":"<p>Oggi parliamo di RAT. Ovvero di minacce digitali conosciute con l\u2019acronimo <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-access-trojan-rat\/\" target=\"_blank\" rel=\"noopener\">RAT<\/a>, cio\u00e8 Remote Access Trojan. Si tratta di un tipo di trojan usato per ottenere l\u2019accesso remoto a un dispositivo. In genere, questi RAT possono installare e disinstallare programmi, prendere il controllo sul testo memorizzato negli Appunti e registrare le sequenze di tasti premuti.<\/p>\n<p>A maggio 2024 una nuova specie di RAT, SambaSpy, \u00e8 finita nella nostra trappola per\u2026 ratti. Scopriamo insieme come questo malware infetta i dispositivi e cosa fa una volta penetrato.<\/p>\n<h2>Che cos\u2019\u00e8 SambaSpy<\/h2>\n<p>SambaSpy \u00e8 un RAT ricco di funzionalit\u00e0 e <a href=\"https:\/\/it.wikipedia.org\/wiki\/Offuscamento_del_codice\" target=\"_blank\" rel=\"noopener nofollow\">offuscato<\/a> con <a href=\"https:\/\/www.zelix.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Zelix KlassMaster<\/a>, che lo rende molto pi\u00f9 difficile da rilevare e analizzare. Tuttavia, il nostro team \u00e8 stato all\u2019altezza della sfida e ha scoperto che questo nuovo RAT \u00e8 in grado di:<\/p>\n<ul>\n<li>Gestire file system e processi<\/li>\n<li>Scaricare e caricare file<\/li>\n<li>Controllare la webcam<\/li>\n<li>Acquisire schermate<\/li>\n<li>Rubare le password<\/li>\n<li>Caricare plug-in aggiuntivi<\/li>\n<li>Controllare il desktop da remoto<\/li>\n<li>Registrare le pressioni dei tasti<\/li>\n<li>Gestire gli Appunti<\/li>\n<\/ul>\n<p>Impressionante. Sembra che SambaSpy sappia fare di tutto: lo strumento perfetto per un cattivo di James Bond aggiornato al XXI secolo. L\u2019elenco non \u00e8 nemmeno esaustivo: tutte le capacit\u00e0 di questo RAT sono illustrate nella <a href=\"https:\/\/securelist.com\/sambaspy-rat-targets-italian-users\/113851\/\" target=\"_blank\" rel=\"noopener\">versione completa del nostro studio<\/a>.<\/p>\n<p>La campagna dannosa da noi scoperta aveva esclusivamente come target vittime in Italia. Pu\u00f2 sembrare controintuitivo, ma \u00e8 una buona notizia (tranne che per gli italiani, ovviamente). Solitamente gli autori delle minacce cercano di allargare i propri orizzonti per massimizzare i profitti, ma in questo caso si sono concentrati su un solo Paese. Allora perch\u00e9 pensiamo che sia una cosa positiva? Perch\u00e9 sembra che gli aggressori stiano tastando il terreno con una platea circoscritta prima di espandere le operazioni ad altri Paesi. E noi siamo gi\u00e0 un passo avanti, perch\u00e9 abbiamo acquisito familiarit\u00e0 con SambaSpy e sappiamo come contrastarlo. Tutto ci\u00f2 che i nostri utenti in tutto il mondo devono fare \u00e8 avere una <strong><a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">soluzione di sicurezza affidabile<\/a> <\/strong>con l\u2019assicurazione che dietro le quinte noi siamo sempre al lavoro.<\/p>\n<h2>Come viene diffuso SambaSpy<\/h2>\n<p>In breve, come molti altri RAT, cio\u00e8 via e-mail. Gli autori degli attacchi hanno usato due principali catene di infezione, entrambe basate su e-mail di phishing camuffate da comunicazioni provenienti da un\u2019agenzia immobiliare. L\u2019elemento chiave dell\u2019e-mail \u00e8 un invito a verificare una fattura facendo clic su un link.<\/p>\n<p><\/p><div id=\"attachment_29202\" style=\"width: 854px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29202\" class=\"size-full wp-image-29202\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2024\/09\/23095803\/new-exotic-rat-sambaspy-01.png\" alt=\"A prima vista, l'e-mail sembra legittima tranne per il fatto che \u00e8 inviata da un indirizzo e-mail tedesco, anche se scritta in italiano.[\/\" width=\"844\" height=\"440\"><p id=\"caption-attachment-29202\" class=\"wp-caption-text\">A prima vista, l\u2019e-mail sembra legittima tranne per il fatto che \u00e8 inviata da un indirizzo e-mail tedesco, anche se scritta in italiano.<\/p><\/div>Facendo clic sul link, gli utenti vengono reindirizzati a un sito Web dannoso che verifica la lingua del sistema e il browser usato. Se il sistema operativo della potenziale vittima \u00e8 impostato sulla lingua italiana e il link viene aperto in Edge, Firefox o Chrome, l\u2019utente ignaro riceve un file PDF dannoso che infetta il dispositivo tramite un dropper o un downloader. La differenza tra questi ultimi due \u00e8 minima: il dropper installa immediatamente il trojan, mentre il downloader scarica prima i componenti necessari dai server degli autori degli attacchi.\n<p>Prima di iniziare, sia il loader che il dropper verificano che il sistema non sia in esecuzione su una macchina virtuale e, cosa pi\u00f9 importante, che la lingua del sistema operativo sia impostata sull\u2019italiano. Se entrambe le condizioni sono soddisfatte, il dispositivo viene infettato.<\/p>\n<p>Gli utenti che non soddisfano questi criteri vengono reindirizzati al sito Web di <a href=\"https:\/\/www.fattureincloud.it\/\" target=\"_blank\" rel=\"noopener nofollow\">FattureInCloud<\/a>, una soluzione cloud italiana per l\u2019archiviazione e la gestione delle fatture digitali. Questo ingegnoso travestimento consente agli autori degli attacchi di prendere di mira solo un pubblico specifico, mentre tutti gli altri vengono reindirizzati a un sito Web legittimo.<\/p>\n<h2>Chi c\u2019\u00e8 dietro SambaSpy?<\/h2>\n<p>Dobbiamo ancora stabilire quale gruppo si nasconda dietro questa sofisticata distribuzione di SambaSpy. Tuttavia, prove indiziarie inducono a pensare che gli autori degli attacchi parlano brasiliano. Sappiamo anche che stanno gi\u00e0 espandendo le loro operazioni in Spagna e Brasile, come dimostrato dai domini dannosi usati dallo stesso gruppo in altre campagne rilevate. A proposito, queste campagne non includono pi\u00f9 la verifica della lingua.<\/p>\n<h2>Come proteggersi da SambaSpy?<\/h2>\n<p>Il punto focale di questa storia \u00e8 il metodo di infezione, che suggerisce che chiunque, ovunque, di qualsiasi lingua, potrebbe essere il bersaglio della prossima campagna. Per gli autori degli attacchi non ha molta importanza chi colpiscono, n\u00e9 sono importanti i dettagli dell\u2019esca di phishing. Oggi pu\u00f2 trattarsi di una fattura di un\u2019agenzia immobiliare, domani di una notifica fiscale e il giorno dopo di biglietti aerei o voucher di viaggio.<\/p>\n<p>Ecco alcuni suggerimenti e consigli per proteggersi da SambaSpy:<\/p>\n<ul>\n<li>Installa <strong><a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a><\/strong>prima che il dispositivo mostri <a href=\"https:\/\/www.kaspersky.it\/blog\/symptoms-of-infection\/27351\/\" target=\"_blank\" rel=\"noopener\">segni di infezione<\/a>. La nostra soluzione rileva e neutralizza in modo affidabile sia SambaSpy che altri malware.<\/li>\n<li>Fai sempre attenzione alle e-mail di phishing. Prima di fare clic su un link nella tua posta in arrivo, prenditi un momento per chiederti: \u201cPotrebbe essere una truffa?\u201d<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Abbiamo scoperto un nuovo trojan molto selettivo nella scelta delle sue vittime<\/p>\n","protected":false},"author":2706,"featured_media":29203,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2194,2195],"tags":[2207,3845,116,1826,1103],"class_list":{"0":"post-29201","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-technology","9":"tag-e-mail","10":"tag-newsletter","11":"tag-phishing","12":"tag-rat","13":"tag-spyware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-exotic-rat-sambaspy\/29201\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/new-exotic-rat-sambaspy\/28007\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/23276\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/12065\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-exotic-rat-sambaspy\/28164\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/27716\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-exotic-rat-sambaspy\/30440\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-exotic-rat-sambaspy\/38246\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-exotic-rat-sambaspy\/12828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/52179\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-exotic-rat-sambaspy\/22235\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-exotic-rat-sambaspy\/23002\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/new-exotic-rat-sambaspy\/31640\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/new-exotic-rat-sambaspy\/28285\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-exotic-rat-sambaspy\/34095\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-exotic-rat-sambaspy\/33751\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/rat\/","name":"RAT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=29201"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29201\/revisions"}],"predecessor-version":[{"id":29204,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29201\/revisions\/29204"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/29203"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=29201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=29201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=29201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}