Usuários de internet da Europa, especificamente Itália e Espanha, são alvos de um novo malware chamado SambaSpy. O nome é referência ao seu país de origem: o Brasil.
O modus operandi do SambaSpy segue o padrão do “melhor” que o cibercriminoso brasileiro costuma produzir, que é o phishing. Phishing são aquelas mensagens falsas com textos incríveis que forçam a vítima a realizar um click ou toque para baixar um vírus ou entregar dados pessoais.
Em um relatório chamado “Exótico, SambaSpy agora está dançando com usuários italianos”, a empresa de cibersegurança Kaspersky detalha como o malware age e o que ele captura.
“Detectamos em maio uma campanha dirigida exclusivamente à vítimas na Itália”, afirma a Kaspersky. “Ficamos surpresos porque os cibercriminosos normalmente selecionam um alvo mais amplo para maximizar os seus lucros. Por exemplo, um determinado tipo de malware pode ter como alvo utilizadores na França e Espanha, com os emails de phishing escritos em ambos os idiomas. No entanto, para tal campanha, o código do malware não inclui verificações específicas para garantir que só funciona nos dois países. O que diferencia esta campanha é que, em várias fases da cadeia de infecção, são feitas verificações para garantir que apenas os utilizadores italianos acabem infectados. Isso nos levou a investigar mais a fundo e descobrir que os invasores estavam entregando um novo RAT como carga final, que apelidamos de SambaSpy”.
- RAT é um cavalo de troia de acesso remoto. Ele permite que cibercriminosos tenham a capacidade controlar o dispositivo infectado sem acesso físico. Dessa maneira, o programa malicioso funciona como um espião: ele não só rouba dados, como pode acompanhar mensagens, ler emails, ver fotos e acompanhar informações bancárias.
Código (Kaspersky)
O samba
O ataque do SambaSpy começa com emails phishing disparados para as vítimas. Neles, um anexo HTML ou link embedado é o responsável para iniciar a infecção: ele oferece um arquivo ZIP que baixa o malware e sua ativação é feita.
A indicação de autoria brasileira acontece porque, em alguns cenários, o link embedado no email redireciona a vítima para um servidor web com código JavaScript. Nesse código, existem comentários escritos em português.
No geral, o SambaSpy foi desenvolvido para roubar credenciais de navegadores como Chrome, Edge, Opera, Brave, Iridium e Vivaldi.
A Kasperksy ainda detalhou mais sobre suas capacidades: gerenciamento de arquivos de sistema e processos, baixar e subir arquivos, controle de webcam, controle do clipboard, realizar capturas de tela, gerenciamento remoto, roubo de senhas, adicionar plugins, iniciar shell remota e até interação com a vítima.
“Existem várias conexões com o Brasil, como artefatos de linguagem no código e domínios direcionados a usuários brasileiros”, relata a empresa. “Isto está de acordo com o fato de que os atacantes da América Latina muitas vezes têm como alvo países europeus com línguas estreitamente relacionadas, como Itália, Espanha e Portugal”.
No relatório, a empresa também finaliza comentando que os cibercriminosos por trás do SambaSpy alteram de modo contínuo seus métodos de ofuscação, endpoints C2 e textos phishing. Por isso, para se proteger de golpes do tipo, siga os seguintes passos:
- Não acredite em mensagens incríveis que possam chegar aos seus emails, SMS e apps de mensagens (e não clique em link ou realize downloads)
- Utilize um antivírus no seu dispositivo
- Utilize segundo fator de autenticação em app terceiro em todas as suas contas
Para mais, você pode acompanhar o vídeo abaixo:
Fontes
Categorias