Secondo Kaspersky, la nuova campagna malware, volta a distribuire il RAT SambaSpy, prosegue da maggio scorso e non sembra rallentare. Si distingue da altre campagne perché il malware mira a colpire solo gli utenti i cui sistemi sono configurati in italiano, invece di essere indirizzata a più Paesi usando più lingue.
“La campagna evidenzia la grande attenzione che il cybercrime manifesta nei confronti dell’Italia, già rimarcata da diversi report del settore”, commenta Enrico Morisi, ICT Security Manager.
Ecco come proteggersi.
Indice degli argomenti
RAT SambaSpy: il malware anti italiani
Le campagne malware sono sempre più sofisticate e mirate. Dopo l’avvistamento di Poco RAT, destinato agli utenti di lingua spagnola, è il turno del Remote Access Trojan (RAT9) SambaSpy che punta ad avere la massima probabilità di successo in Italia.
“La campagna scoperta da Kaspersky”, continua Morisi, “ci ricorda ancora una volta la tendenza degli attacchi a una sempre maggiore sofisticazione, diversificandosi in più varianti, rendendo disponibili un ampio ventaglio di funzionalità estremamente efficaci”.
Dotato di file system management, è in grado di controllare la webcam, rubare password (dai browser come Chrome, Edge e Opera) e gestire desktop da remoto.
Inoltre può gestire file system e processi, registrare i tasti e manipolare la clipboard, caricare e scaricare file, oltre a plugin aggiuntivi in fase di esecuzione.
“Siamo stati sorpresi dal target ristretto di questo attacco. Di solito i criminali informatici mirano a infettare il maggior numero di utenti possibile, ma la catena di infezione di SambaSpy include controlli specifici per garantire che vengano colpiti solo gli utenti italiani”, ha dichiarato Giampaolo Dedola, Lead Cybersecurity Researcher di Kaspersky GReAT.
I dettagli tecnici della catena di infezione
Kaspersky ha messo in luce due catene di infezione lievemente differenti impiegate nella campagna. Il metodo d’infezione parte da un’email di phishing, apparentemente proveniente da una società immobiliare italiana legittima. L’email esorta i riceventi a verificare una fattura cliccando su un link, che conduce gli utenti a un servizio cloud italiano legittimo impiegato per gestire le fatture.
“La campagna infatti ricorre a tecniche di cifratura e di offuscamento al fine di evitarne il rilevamento e l’analisi, evolvendo nel tempo e traendo vantaggio dal ricorso a un servizio cloud e a un documento fattura legittimi, documento facente capo a una società immobiliare italiana oltre a rappresentare il perno attorno al quale ruota l’intera campagna”, avverte Morisi.
Tuttavia, alcuni utenti subiscono il reindirizzamento verso un server Web malevolo, in cui il malware convalida le configurazioni del browser e della lingua. Se l’utente usa Edge, Firefox o Chrome in lingua italiana, subisce il reindirizzamento a un URL OneDrive contenente un PDF malevolo.
In questo modo prende il via il download di un dropper o di un downloader, per scaricare il RAT SambaSpy.
SambaSpy è un RAT scritto in Java che si cela grazie a Zelix KlassMaster. Il malware è evoluto: il suo meccanismo di caricamento dei plugin di e l’impiego di library come JNativeHook testimoniano il livello di sofisticatezza degli aggressori.
Per proteggersi dal RAT SambaSpy
Per mitigare il rischio, bisogna evitare di usare i servizi di remote desktop, come RDP, su reti pubbliche e impostare sempre password forti. La propria VPN commerciale e altre soluzioni software lato server devono essere sempre aggiornate. Infatti lo sfruttamento di questo tipo di software è un vettore comune di infezione da ransomware.
Occorre sempre aggiornare le applicazioni lato client.
Molto importante anche focalizzare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati verso Internet. Una spia è il traffico in
uscita per identificare le connessioni dei criminali informatici. Occorre effettuare regolari backup dei dati e garantirsi l’accesso veloce in caso di emergenza.
La Threat Intelligence permette infine di mantenersi aggiornati sulle ultime TTP utilizzate dagli attori delle minacce.
“Tra le soluzioni di mitigazione del rischio”, raccomanda Morisi, “la più importante è, senza alcun dubbio, quella di promuovere con sempre maggior convinzione e vigore la cultura della sicurezza. Anche in questo caso, infatti, il vettore d’ingresso è rappresentato da una mail di phishing, e nella chain di attacco più complessa è richiesto anche un secondo intervento da parte dell’utente, invitato a cliccare su un link contenuto in un file Pdf“.
“È dunque fondamentale anche essere consapevoli del fatto che è estremamente riduttivo ritenere di doversi difendere solo da minacce esterne al ‘perimetro’ o di dover fare attenzione solo ai flussi inbound”, mette in guardia Morisi.
“Il caso scoperto è emblematico in tal senso: attraverso un attacco di social engineering il target si ritroverebbe con un payload già somministrato all’interno dell’organizzazione e conseguenti flussi outbound verso il Command&Control“, conclude Morisi.
