Pesquisadores de segurança cibernética identificaram um novo malware chamado SambaSpy, que está focado exclusivamente em usuários na Itália através de uma campanha de phishing, possivelmente coordenada por um grupo de cibercriminosos brasileiros. A descoberta foi divulgada pela Kaspersky, que destacou o ineditismo da abordagem geográfica restrita. Ao contrário de outros ataques, que tentam atingir o maior número possível de vítimas, o SambaSpy está atualmente concentrado apenas no território italiano.
O ataque começa com um e-mail de phishing que inclui um anexo HTML ou um link que inicia o processo de infecção. Se o anexo HTML for aberto, um arquivo ZIP contendo um downloader ou dropper é ativado, executando a carga útil do malware. O downloader busca o malware em um servidor remoto, enquanto o dropper o extrai de um arquivo local. Esse método multifacetado permite que o ataque se desenrole de diferentes maneiras, dependendo da interação da vítima.
Outro vetor de ataque ocorre quando o link de phishing redireciona a vítima para uma página legítima de faturas no FattureInCloud, mas apenas se o alvo não for o pretendido. Caso o alvo seja adequado, o link malicioso direciona o usuário para um servidor que analisa se o navegador é o Edge, Firefox ou Chrome configurado em italiano. Apenas se essas condições forem atendidas, o malware avança para a próxima etapa de infecção, que envolve o download de um arquivo JAR contendo o malware.
O SambaSpy é um trojan de acesso remoto (RAT) desenvolvido em Java, com uma gama de funcionalidades que inclui desde gerenciamento de arquivos e captura de telas até controle de webcam, keylogging e roubo de credenciais de navegadores como Chrome e Edge. Além disso, o malware tem a capacidade de carregar plugins adicionais em tempo real, permitindo expandir suas capacidades conforme necessário.
A análise da infraestrutura do ataque sugere que os cibercriminosos por trás do SambaSpy estão expandindo suas operações para o Brasil e a Espanha, reforçando a hipótese de que se trata de um grupo de origem brasileira. Essa expansão está alinhada com a tendência de atacantes latino-americanos focarem em países europeus com idiomas semelhantes, como Itália, Espanha e Portugal.