Secondo quanto riportato da Kaspersky Labs gli utenti italiani sono al centro di un nuovo attacco informatico. Tutto ha avuto inizio con la diffusione della campana malware SambaSpy. Quest’ultima attacca solo i sistemi con l’italiano come lingua impostata. Dettaglio che è reso possibile dal nuovo Trojan ad accesso remoto (RAT). Nonostante tale impostazione, è importante sottolineare che Kaspersky ha trovato tracce anche in Brasile. L’infrastruttura della campagna contiene anche ulteriori collegamenti. Tra cui sono stati scovati indizi che sembrano rimandare alla Spagna. Ciò fa ipotizzare che l’attacco potrebbe non fermarsi all’Italia.
Attacco malware mirato all’Italia
Una campagna di questo tipo risulta insolita. Ciò soprattutto per il suo essere specificatamente indirizzata agli utenti in Italia. Come funziona questo malware? SambaSpy si diffonde tra gli utenti tramite delle e-mail malevole. Quest’ultime sembrano essere state inviate da una legittima azienda immobiliare presente nel nostro Paese. All’interno del testo è disponibile un link che, secondo quanto viene detto, dovrebbe permettere agli utenti di visionare una fattura. In realtà, chi clicca su quest’ultimo viene reindirizzato verso un file JAR infetto.
C’è anche una seconda catena di infezione. Anche quest’ultima ha inizio con un’e-mail. Gli utenti ricevono un’email da un indirizzo tedesco, ma con scritte in italiano. Le vittime che soddisfano il controllo della lingua vengono reindirizzato ad un link OneDrive malevolo. Quest’ultimo, infatti, porta direttamente al dropper di SamSpy.
Ciò offre al malware la possibilità di installarsi sul dispositivo colpito. SambaSky è scritto in Java e offuscato con il protettore Zelix KlassMaster. In questo modo il malware può accedere ai file presenti sul dispositivo e scaricarne di nuovi. Inoltre, può controllare la webcam, catturare schermate e rubare informazioni sensibili. Come, ad esempio, le credenziali del browser. Dopo l’installazione SambaSpy permette agli hacker di controllare quasi totalmente il dispositivo.
È importante sottolineare che, se il sistema utilizzato, come Chrome, Edge e Firefox, non sono impostati sulla lingua italiana, il malware viene “fermato” e l’infezione si blocca.
