SAMBASPY: NJË TROJAN I RI I QASJES NË DISTANCE QË ËSHTË SHUMË SELEKTIV PËR VIKTIMAT E TIJ | TASH PËR TASH ITALIA ËSHTË FUSHA E PARË E TIJ E VEPRIMIT KU EDHE PO TESTON AFTËSITË.

Uashington, Amerikë | SambaSpy, një RAT i ri. Sot, le të flasim për minjtë. Jo brejtësit me bisht të gjatë, por për llojin dixhital. Trojanët me qasje në distancë, ose RAT.

Këta janë trojanë që sulmuesit përdorin për të fituar qasje në distancë në një pajisje.

Në mënyrë tipike, këta RAT mund të instalojnë dhe çinstalojnë programe, të kontrollojnë tastierën dhe të regjistrojnë tastierë.

Në maj 2024, një racë e re RAT, SambaSpy, u fut në kurthin tonë të minjve. Për të mësuar se si ky malware infekton pajisjet e viktimave të tij dhe çfarë bën pasi të jetë brenda, lexoni më tej.

Çfarë është SambaSpy?

SambaSpy është një Trojan RAT i pasur me veçori, i turbullt duke përdorur Zelix KlassMaster, duke e bërë shumë më të vështirë zbulimin dhe analizimin.

Këtij RAT të ri i atribuhohen këto aftësi:

1- Menaxhimi i sistemit të skedarëve dhe proceseve.

2- Shkarkimi dhe ngarkimi i skedarëve.

3- Kontrollimi i kamerës së internetit.

4- Marrja e pamjeve të ekranit.

5- Vjedhja e fjalëkalimeve.

6- Po ngarkon shtojcat shtesë.

7- Kontrolli në distancë i desktopit.

8- Regjistrimi i goditjeve të tasteve.

9- Menaxhimi i kujtesës së fragmenteve.

Të impresionuar? Duket se SambaSpy mund t'i bëjë të gjitha - mjeti i përsosur për një horr të shekullit të 21-të.

Por edhe kjo listë e gjerë nuk është shteruese: lexoni më shumë rreth aftësive të këtij RAT në versionin e plotë.

Fushata dashakeqe që zbuluam kishte në shënjestër ekskluzivisht viktimat në Itali.

Mund të habiteni, por ky është në fakt një lajm i mirë (për të gjithë përveç italianëve).

Aktorët e kërcënimit zakonisht përpiqen të hedhin një rrjet të gjerë për të maksimizuar fitimet e tyre, por këta sulmues janë të fokusuar vetëm në një vend.

Pra, pse është kjo një gjë e mirë? Ka të ngjarë që sulmuesit po testojnë ujërat me përdoruesit italianë përpara se të zgjerojnë operacionin e tyre në vende të tjera – dhe ne jemi tashmë një hap përpara, pasi jemi njohur me SambaSpy dhe si ta kundërshtojmë atë.

Gjithçka që duhet të bëjnë përdoruesit tanë në mbarë botën është të sigurohen se kanë një zgjidhje të besueshme sigurie dhe të lexojnë duke ditur që ne e kemi këtë.

Si e përhapën sulmuesit SambaSpy?

Me pak fjalë, ashtu si shumë RAT të tjerë, me email. Sulmuesit përdorën dy zinxhirë kryesorë të infeksionit, që të dy përfshinin email phishing të maskuar si komunikime nga një agjenci imobiliare. Elementi kryesor në email është një CTA për të kontrolluar një faturë duke klikuar një hyperlink.

Në pamje të parë, emaili duket i ligjshëm – përveç se është dërguar nga një adresë emaili gjermane, por e shkruar në italisht.

Klikimi i lidhjes i ridrejton përdoruesit në një faqe interneti me qëllim të keq që kontrollon gjuhën e sistemit dhe shfletuesin e përdorur.

Nëse OS e viktimës së mundshme është vendosur në italisht dhe ata hapin lidhjen në Edge, Firefox ose Chrome, ata marrin një skedar PDF me qëllim të keq që infekton pajisjen e tyre ose me një pikatore ose një shkarkues.

Dallimi midis të dyjave është minimal: dropper instalon Trojanin menjëherë, ndërsa shkarkuesi fillimisht shkarkon komponentët e nevojshëm nga serverët e sulmuesve.

Përpara fillimit, si ngarkuesi ashtu edhe pikatori kontrollojnë që sistemi të mos funksionojë në një makinë virtuale dhe, më e rëndësishmja, që gjuha e OS është vendosur në italisht. Nëse plotësohen të dyja kushtet, pajisja është e infektuar.

Përdoruesit që nuk i plotësojnë këto kritere ridrejtohen në faqen e internetit të FattureInCloud, një zgjidhje italiane e bazuar në renë kompjuterike për ruajtjen dhe menaxhimin e faturave dixhitale.

Ky maskim i zgjuar i lejon sulmuesit të synojnë vetëm një audiencë specifike -të gjithë të tjerët ridrejtohen në një faqe interneti legjitime.

Kush qëndron pas SambaSpy?

Ne ende duhet të përcaktojmë se cili grup qëndron pas kësaj shpërndarjeje të sofistikuar të SambaSpy.

Megjithatë, provat rrethanore na kanë treguar se sulmuesit flasin portugalishten braziliane.

Ne e dimë gjithashtu se ata tashmë po zgjerojnë operacionet e tyre në Spanjë dhe Brazil - siç dëshmohet nga domenet me qëllim të keq të përdorur nga i njëjti grup në fushata të tjera të zbuluara.

Meqë ra fjala, këto fushata nuk përfshijnë më kontrollin e gjuhës.

Si të mbroheni nga SambaSpy?

Çështja kryesore nga kjo histori është metoda e infeksionit, e cila sugjeron se kushdo, kudo, që flet çdo gjuhë mund të jetë objektivi i fushatës së ardhshme.

Për sulmuesit, nuk ka shumë rëndësi se kë godasin, as të dhënat e karremit të phishing nuk janë të rëndësishme.

Sot, mund të jetë një faturë nga një agjenci imobiliare; nesër, një njoftim tatimor; dhe të nesërmen, biletat e linjës ajrore ose kuponët e udhëtimit.

Nga z. Erton Duka.

© Copyright | Agjencia Telegrafike Vox

Ne të njohim me botën | www.007vox.com | Burimi yt i informacionit