SambaSpy：一种新的远程访问木马

我们发现了一种新的木马，它对受害者非常挑剔。

今天，我们来谈谈老鼠。不是长尾啮齿动物，而是数字类型——远程访问木马或 RAT。这些特洛伊木马是攻击者用来远程访问设备的特洛伊木马程序。通常，这些 RAT 可以安装和卸载程序、控制剪贴板和记录击键。

2024 年 5 月，一种新型老鼠 SambaSpy 闯入了我们的捕鼠器。要了解这种恶意软件如何感染受害者的设备以及它进入设备后会发生什么，请继续阅读。

SambaSpy 是一种功能丰富的 RAT 木马，使用 Zelix KlassMaster 进行混淆，使其更难检测和分析。然而，我们的团队接受了挑战，并发现这种新的 RAT 能够：

• 管理文件系统和进程

• 下载和上传文件

• 控制网络摄像头

• 截取屏幕截图

• 窃取密码

• 加载其他插件

• 远程控制桌面

• 记录击键

• 管理剪贴板

印象？SambaSpy 似乎可以做到这一切——是 21 世纪詹姆斯邦德恶棍的完美工具。但即使是这个广泛的列表也并非详尽无遗：在我们研究的完整版本中阅读更多关于这种 RAT 功能的信息。

我们发现的恶意活动专门针对意大利的受害者。您可能会感到惊讶，但这实际上是个好消息（对除了意大利人以外的所有人来说）。威胁行为者通常试图广撒网以最大化他们的利润，但这些攻击者只关注一个国家。那么，为什么这是一件好事呢？攻击者很可能在将业务扩展到其他国家/地区之前与意大利用户一起试水——我们已经领先一步，因为我们熟悉 SambaSpy 以及如何应对它。我们的全球用户需要做的就是确保他们拥有可靠的安全解决方案，并继续阅读，知道我们已经有了这个解决方案。

简而言之，就像许多其他 RAT 一样，通过电子邮件。攻击者使用了两个主要的感染链，都涉及伪装成房地产中介通信的网络钓鱼电子邮件。电子邮件中的关键元素是一个 CTA，用于通过单击超链接来检查发票。

乍一看，这封电子邮件似乎是合法的——除了它来自德国电子邮件地址，但用意大利语写的

单击该链接会将用户重定向到恶意网站，该网站会检查系统语言和使用的浏览器。如果潜在受害者的操作系统设置为意大利语，并且他们在 Edge、Firefox 或 Chrome 中打开链接，他们会收到一个恶意 PDF 文件，该文件会使用投递器或下载器感染他们的设备。两者之间的差异很小：dropper 立即安装木马，而下载者首先从攻击者的服务器下载必要的组件。

在开始之前，加载程序和植入程序都会检查系统是否未在虚拟机中运行，最重要的是，操作系统语言是否设置为意大利语。如果同时满足这两个条件，则设备被感染。

不符合这些条件的用户将被重定向到 FattureInCloud 的网站，这是一种基于云的意大利解决方案，用于存储和管理数字发票。这种巧妙的伪装允许攻击者仅针对特定受众——其他所有人都被重定向到合法网站。

这个故事的关键要点是感染方法，这表明任何人、任何地方、说任何语言都可能成为下一次活动的目标。对于攻击者来说，他们击中谁并不重要，网络钓鱼诱饵的细节也不重要。今天，它可能是房地产中介的发票;明天，税务通知;后天，机票或旅行券。

以下是一些提示和建议，可帮助您远离 SambaSpy：

• 在您的设备出现任何感染迹象之前安装 Kaspersky Premium。我们的解决方案能够可靠地检测并消除 SambaSpy 和其他恶意软件。

• 始终警惕网络钓鱼电子邮件。在点击收件箱中的链接之前，请花点时间问问自己：“这会是骗局吗？