SambaSpy: تهديد جديد يستهدف المستخدمين الإيطاليين
يعد SambaSpy، وهو حصان طروادة كامل الميزات للوصول عن بعد، تم تطويره في Java، بمثابة سكين الجيش السويسري الذي يمكنه التعامل مع إدارة نظام الملفات،
تستهدف البرامج الضارة غير الموثقة مسبقًا والتي تسمى SambaSpy المستخدمين في إيطاليا حصريًا من خلال حملة تصيد احتيالي ينظمها جهة تهديد ناطقة بالبرتغالية البرازيلية.
كاسبرسكي: “عادة ما تحاول الجهات الفاعلة في مجال التهديد إنشاء شبكة واسعة لتحقيق أقصى قدر من الأرباح، لكن هؤلاء المهاجمين يركزون على دولة واحدة فقط”. قال في تحليل جديد. “من المحتمل أن المهاجمين يختبرون الأجواء مع المستخدمين الإيطاليين قبل توسيع عملياتهم إلى بلدان أخرى.”
نقطة البداية للهجوم هي رسالة بريد إلكتروني تصيدية تتضمن إما مرفق HTML أو رابطًا مضمنًا يبدأ عملية الإصابة.
في حالة فتح مرفق HTML، يتم استخدام أرشيف ZIP يحتوي على أداة تنزيل مؤقتة أو قطارة لنشر وإطلاق حمولة RAT متعددة الوظائف.
ويكون برنامج التنزيل، من جانبه، مسؤولاً عن جلب البرامج الضارة من خادم بعيد. من ناحية أخرى، تقوم القطارة بنفس الشيء، ولكنها تستخرج الحمولة من الأرشيف بدلاً من استعادتها من موقع خارجي.
تعد سلسلة العدوى الثانية ذات الرابط المفخخ أكثر تفصيلاً بكثير، حيث يؤدي النقر فوقه إلى إعادة توجيه المستخدم إلى فاتورة شرعية مستضافة على FattureInCloud إذا لم يكن الهدف المقصود.
وفي سيناريو بديل، يؤدي النقر على نفس عنوان URL إلى نقل الضحية إلى خادم ويب ضار يقدم صفحة HTML تحتوي على كود JavaScript يحتوي على تعليقات مكتوبة باللغة البرتغالية البرازيلية.
قال بائع الأمن السيبراني الروسي: “إنه يعيد توجيه المستخدمين إلى عنوان URL ضار لـ OneDrive، ولكن فقط إذا كانوا يستخدمون Edge أو Firefox أو Chrome مع ضبط لغتهم على اللغة الإيطالية”.
“إذا لم يجتاز المستخدمون عمليات التحقق هذه، فسيبقون في الصفحة.”
يتم تقديم مستند PDF مستضاف على Microsoft OneDrive للمستخدمين الذين يستوفون هذه المتطلبات والذي يوجه المستخدمين إلى النقر فوق ارتباط تشعبي لعرض المستند، وبعد ذلك يتم توجيههم إلى ملف JAR ضار مستضاف على MediaFire يحتوي إما على برنامج التنزيل أو القطارة كما كان من قبل .
يعد SambaSpy، وهو حصان طروادة كامل الميزات للوصول عن بعد، تم تطويره في Java، بمثابة سكين الجيش السويسري الذي يمكنه التعامل مع إدارة نظام الملفات، وإدارة العمليات، وإدارة سطح المكتب البعيد، وتحميل/تنزيل الملفات، والتحكم في كاميرا الويب، وتتبع لوحة المفاتيح والحافظة، والتقاط لقطات الشاشة، والقذيفة البعيدة.
كما أنه مجهز لتحميل مكونات إضافية في وقت التشغيل عن طريق تشغيل ملف على القرص الذي تم تنزيله مسبقًا بواسطة RAT، مما يسمح له بزيادة قدراته حسب الحاجة. علاوة على ذلك، فهو مصمم لسرقة بيانات الاعتماد من متصفحات الويب مثل Chrome وEdge وOpera وBrave وIridium وVivaldi.
تشير أدلة البنية التحتية إلى أن جهة التهديد التي تقف وراء الحملة تضع أنظارها أيضًا على البرازيل وإسبانيا، مما يشير إلى توسع العمليات.
وقال كاسبرسكي: “هناك اتصالات مختلفة مع البرازيل، مثل المؤثرات اللغوية في الكود والمجالات التي تستهدف المستخدمين البرازيليين”.
“وهذا يتماشى مع حقيقة أن المهاجمين من أمريكا اللاتينية غالبا ما يستهدفون الدول الأوروبية ذات اللغات الوثيقة الصلة، وهي إيطاليا وإسبانيا والبرتغال”.
تستهدف حملات BBTok وMekotio الجديدة أمريكا اللاتينية
ويأتي هذا التطور بعد أسابيع من تحذير تريند مايكرو من زيادة الحملات التي تقدم أحصنة طروادة المصرفية مثل BBTok، وGrandoreiro، وMekotio التي تستهدف منطقة أمريكا اللاتينية عبر عمليات التصيد الاحتيالي التي تستخدم المعاملات التجارية والمعاملات المتعلقة بالقضاء كإغراءات.
Mekotio “تستخدم تقنية جديدة حيث يتم الآن حجب البرنامج النصي PowerShell الخاص بفيروس طروادة، مما يعزز قدرته على تجنب الكشف”، حسبما ذكرت الشركة. قال، مع تسليط الضوء على استخدام BBTok لروابط التصيد لتنزيل ملفات ZIP أو ISO التي تحتوي على ملفات LNK التي تعمل كنقطة انطلاق للعدوى.
يتم استخدام ملف LNK للتقدم إلى الخطوة التالية عن طريق تشغيل الملف الثنائي الشرعي MSBuild.exe، الموجود داخل ملف ISO. يقوم بعد ذلك بتحميل ملف XML ضار مخفي أيضًا داخل أرشيف ISO، والذي يقوم بعد ذلك باستغلال ملف rundll32.exe لتشغيل حمولة BBTok DLL.
“باستخدام الأداة المساعدة Windows MSBuild.exe الشرعية، يمكن للمهاجمين تنفيذ التعليمات البرمجية الضارة الخاصة بهم مع تجنب الكشف”، كما أشارت Trend Micro.
تبدأ سلاسل الهجوم المرتبطة بـ Mekotio بعنوان URL ضار في رسالة البريد الإلكتروني التصيدية، والتي عند النقر عليها، توجه المستخدم إلى موقع ويب مزيف يوفر أرشيف ZIP، والذي يحتوي على ملف دفعي تم تصميمه لتشغيل برنامج PowerShell النصي.
يعمل البرنامج النصي PowerShell بمثابة أداة تنزيل في المرحلة الثانية لإطلاق حصان طروادة عن طريق البرنامج النصي AutoHotKey، ولكن ليس قبل إجراء استطلاع لبيئة الضحية للتأكد من وجوده بالفعل في أحد البلدان المستهدفة.
وقال باحثو تريند مايكرو: “إن المزيد من عمليات التصيد الاحتيالي المتطورة التي تستهدف مستخدمي أمريكا اللاتينية لسرقة بيانات الاعتماد المصرفية الحساسة وتنفيذ معاملات مصرفية غير مصرح بها تؤكد الحاجة الملحة لتعزيز تدابير الأمن السيبراني ضد الأساليب المتقدمة بشكل متزايد التي يستخدمها مجرمون الإنترنت”.
“أصبحت أحصنة طروادة هذه بارعة بشكل متزايد في التهرب من اكتشافها وسرقة المعلومات الحساسة بينما أصبحت العصابات التي تقف وراءها أكثر جرأة في استهداف مجموعات أكبر لتحقيق المزيد من الأرباح.”