Een nog niet eerder gedocumenteerde malware genaamd SambaSpy richt zich uitsluitend op gebruikers in Italië via een phishingcampagne die wordt georkestreerd door een vermoedelijke Braziliaans-Portugees sprekende cybercrimineel.
“Dreigende actoren proberen meestal een breed net uit te werpen om hun winst te maximaliseren, maar deze aanvallers richten zich op slechts één land”, aldus Kaspersky in een nieuwe analyse. “Het is waarschijnlijk dat de aanvallers de wateren testen met Italiaanse gebruikers voordat ze hun operatie uitbreiden naar andere landen.”
Het startpunt van de aanval is een phishing-e-mail die een HTML-bijlage of een ingebedde link bevat die het infectieproces initieert. Als de HTML-bijlage wordt geopend, wordt een ZIP-archief met een tijdelijke downloader of dropper gebruikt om de multifunctionele RAT-payload te implementeren en te starten.
De downloader is op zijn beurt verantwoordelijk voor het ophalen van de malware van een externe server. De dropper doet daarentegen hetzelfde, maar haalt de payload uit het archief in plaats van deze op te halen van een externe locatie.
De tweede infectieketen met de link met de boobytrap is een stuk ingewikkelder. Als de gebruiker hierop klikt, wordt hij of zij doorgestuurd naar een legitieme factuur die op FattureInCloud wordt gehost, als hij of zij niet het beoogde doelwit is.
In een ander scenario wordt het slachtoffer door te klikken op dezelfde URL doorgeleid naar een kwaadaardige webserver die een HTML-pagina met JavaScript-code aanbiedt met opmerkingen in het Braziliaans-Portugees.
“Het leidt gebruikers om naar een kwaadaardige OneDrive-URL, maar alleen als ze Edge, Firefox of Chrome gebruiken met hun taal ingesteld op Italiaans”, aldus de Russische cybersecurity-leverancier. “Als de gebruikers deze controles niet doorstaan, blijven ze op de pagina.”
Gebruikers die aan deze vereisten voldoen, krijgen een PDF-document op Microsoft OneDrive te zien. Hierin staat dat de gebruiker op een hyperlink moet klikken om het document te bekijken. Vervolgens worden ze doorgestuurd naar een schadelijk JAR-bestand op MediaFire dat, net als voorheen, de downloader of de dropper bevat.
SambaSpy is een volledig uitgeruste trojan voor externe toegang die is ontwikkeld in Java. Het is een soort Zwitsers zakmes dat bestandssysteembeheer, procesbeheer, beheer van externe bureaubladen, uploaden/downloaden van bestanden, webcambesturing, keylogging en klembordregistratie, screenshots maken en een externe shell kan uitvoeren.
Het is ook uitgerust om extra plugins te laden tijdens runtime door een bestand te starten op de schijf die eerder is gedownload door de RAT, waardoor het zijn mogelijkheden kan uitbreiden indien nodig. Bovendien is het ontworpen om inloggegevens te stelen van webbrowsers zoals Chrome, Edge, Opera, Brave, Iridium en Vivaldi.
Uit bewijsmateriaal over de infrastructuur blijkt dat de dreigingsactor achter de campagne ook zijn pijlen op Brazilië en Spanje richt, wat wijst op een operationele uitbreiding.
“Er zijn verschillende connecties met Brazilië, zoals taalartefacten in de code en domeinen die Braziliaanse gebruikers targeten,” zei Kaspersky. “Dit komt overeen met het feit dat aanvallers uit Latijns-Amerika vaak Europese landen targeten met nauw verwante talen, namelijk Italië, Spanje en Portugal.”
Nieuwe BBTok- en Mekotio-campagnes richten zich op Latijns-Amerika
Deze ontwikkeling komt enkele weken nadat Trend Micro waarschuwde voor een toename in campagnes die banking trojans zoals BBTok, Grandoreiro en Mekotio verspreiden. Deze zijn gericht op de Latijns-Amerikaanse regio via phishing-zwendel die zakelijke transacties en juridische transacties als lokaas gebruikt.
Mekotio “maakt gebruik van een nieuwe techniek waarbij het PowerShell-script van de trojan nu wordt verhuld, waardoor de trojan beter in staat is om detectie te omzeilen”, aldus het bedrijf. Hierbij werd gewezen op het gebruik van phishinglinks door BBTok om ZIP- of ISO-bestanden te downloaden die LNK-bestanden bevatten die als triggerpunt voor de infecties fungeren.
Het LNK-bestand wordt gebruikt om door te gaan naar de volgende stap door het legitieme MSBuild.exe-binaire bestand te starten, dat aanwezig is in het ISO-bestand. Vervolgens laadt het een kwaadaardig XML-bestand dat ook verborgen is in het ISO-archief, dat vervolgens rundll32.exe gebruikt om de BBTok DLL-payload te starten.
“Door gebruik te maken van het legitieme Windows-hulpprogramma MSBuild.exe kunnen aanvallers hun schadelijke code uitvoeren en tegelijkertijd detectie omzeilen”, aldus Trend Micro.
De aanvalsketens die verband houden met Mekotio beginnen met een schadelijke URL in de phishing-e-mail. Wanneer de gebruiker hierop klikt, wordt hij doorgestuurd naar een valse website die een ZIP-archief levert. Dit bestand bevat een batchbestand dat is ontworpen om een PowerShell-script uit te voeren.
Het PowerShell-script fungeert als een downloader in de tweede fase om de trojan te starten met behulp van een AutoHotKey-script, maar niet voordat er een verkenning van de omgeving van het slachtoffer is uitgevoerd om te bevestigen dat deze zich daadwerkelijk in een van de beoogde landen bevindt.
“De steeds geavanceerdere phishing-aanvallen die gericht zijn op Latijns-Amerikaanse gebruikers om gevoelige bankgegevens te stelen en ongeautoriseerde banktransacties uit te voeren, benadrukken de dringende behoefte aan strengere cyberbeveiligingsmaatregelen tegen de steeds geavanceerdere methoden die cybercriminelen gebruiken”, aldus onderzoekers van Trend Micro.
“Deze trojans zijn steeds beter geworden in het ontwijken van detectie en het stelen van gevoelige informatie, terwijl de bendes erachter steeds brutaler worden in hun pogingen om grotere groepen aan te vallen voor meer winst.”