Поделиться
У вас завелась крыса: троянец SambaSpy атакует сотрудников компаний в Италии
Весной 2024 г. эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили SambaSpy. Это троянец удаленного доступа (RAT) для ПК, который применяется в целевых кибератаках на итальянских пользователей. Однако, вероятно, злоумышленники таким образом тестируют зловред, чтобы позднее использовать его и в других странах. Об этом CNews сообщили представители «Лаборатории Касперского».
SambaSpy может, в частности, управлять файловой системой и процессами, получает доступ к веб-камере и делает скриншоты, запоминает нажатия клавиш, управляет буфером обмена и удалённым рабочим столом, крадет пароли из популярных браузеров — Chrome, Edge, Opera и других. К тому же троянец умеет загружать на устройство жертвы и скачивать с него файлы, загружать дополнительные плагины.
Атака начинается с фишингового письма якобы от итальянского агентства по недвижимости. Потенциальным жертвам предлагают просмотреть счет, нажав на встроенную кнопку. На самом деле за ней скрывается ссылка. При нажатии на неё большинство пользователей окажутся на легальном облачном сервисе для управления счетами. Однако отдельные пользовали попадают на вредоносный веб-сервер, где вредоносный скрипт проверяет настройки браузера и языка. Если у пользователя браузеры Edge, Firefox или Chrome с настройками итальянского языка, он перенаправляется на облачное хранилище, где находится вредоносный PDF-файл. Если нажать на ссылку из этого документа, на устройство проникает дроппер либо загрузчик. Разница в том, что дроппер сразу устанавливает троянец, а загрузчик сначала скачивает необходимые компоненты с серверов злоумышленников.
«Основная цель кампании — итальянские пользователи. При этом наши эксперты предполагают, что за атаками стоят португалоговорящие злоумышленники, поскольку комментарии и сообщения об ошибках во вредоносном коде написаны на бразильском варианте португальского языка. К тому же инфраструктура, используемая злоумышленниками, была связана с другими атаками в Бразилии и Испании, хотя инструменты заражения в этих регионах несколько отличаются от тех, что используются в Италии», — сказала Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.
Для защиты от подобных кибератак «Лаборатория Касперского» рекомендует: не открывать доступ к службам удаленного рабочего стола (таким как RDP) из интернета; использовать комплексные защитные решения, эффективность которых подтверждается независимыми тестовыми лабораториями; инструктировать своих сотрудников по вопросам обеспечения безопасности корпоративной среды; предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например, с помощью сервисов Threat Intelligence; использовать MDR-сервисы для управляемого обнаружения и реагирования на угрозы, например, Kaspersky Managed Detection and Response, который помогает обнаружить атаку на ранней стадии и предотвратить ее дальнейшее развитие до того, как злоумышленники достигнут своих целей.
Поделиться
Короткая ссылка
