A Kaspersky descobriu uma campanha sofisticada de malware distribuindo o SambaSpy, um trojan de acesso remoto (RAT) com foco em usuários de bancos italianos. Este malware é capaz de controlar webcams, roubar senhas e acessar sistemas das vítimas, utilizando um sofisticado mecanismo de carregamento de plug-ins. A investigação também revelou vínculos com o Brasil, sugerindo que os criminosos por trás dessa ameaça podem ter origem brasileira.
Campanha de malware focada na Itália
Diferente dos ataques de malware tradicionais, que visam uma rede ampla de alvos em diversos países, a campanha SambaSpy foi planejada para atingir especificamente usuários cujos sistemas estão configurados para o idioma italiano. De acordo com dados da Kaspersky, essa campanha começou em maio de 2024 e segue ativa, com sinais de crescimento.
“Normalmente, os cibercriminosos visam infectar o maior número possível de usuários, mas a cadeia de infecção do SambaSpy inclui verificações específicas para assegurar que apenas usuários italianos sejam afetados”, comentou Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Conexões com o Brasil e a Espanha
Embora a Itália seja o foco principal da campanha, a investigação da Kaspersky revelou indícios de envolvimento brasileiro. O código malicioso contém mensagens em português brasileiro, sugerindo que os cibercriminosos podem estar operando a partir do Brasil. A infraestrutura usada também foi associada a outros ataques no Brasil e na Espanha, embora com variações nas ferramentas de infecção.
Métodos de infecção avançados
A campanha utiliza duas cadeias de infecção distintas, começando com um e-mail de phishing. O primeiro método envolve um e-mail que aparenta ser de uma empresa imobiliária italiana legítima, solicitando que o usuário clique em um link para visualizar uma fatura. Ao clicar, o usuário é redirecionado para um serviço de nuvem italiano, onde o malware é executado.
O segundo método começa com um redirecionamento para um servidor web malicioso. A partir daí, o malware verifica as configurações do navegador e, se estiver configurado para o idioma italiano, o usuário é direcionado a uma URL maliciosa que inicia o download de um arquivo infectado. Este arquivo contém o SambaSpy RAT, que permite o controle remoto do sistema da vítima.
Riscos e capacidades do SambaSpy
O SambaSpy é um malware avançado, capaz de realizar diversas atividades prejudiciais, como o controle de webcams, roubo de senhas, manipulação da área de transferência, download de arquivos e execução de comandos remotos. O uso de bibliotecas como JNativeHook e a capacidade de carregar plug-ins demonstram o nível de sofisticação da ameaça.
Recomendações de segurança da Kaspersky
Para proteger-se contra esse tipo de ameaça, a Kaspersky recomenda:
- Cuidado com e-mails: Não clique em links ou abra anexos de remetentes desconhecidos.
- Atualizações: Mantenha sistemas e aplicativos sempre atualizados para evitar vulnerabilidades.
- Antivírus: Use softwares de segurança confiáveis, com proteção contra malwares.
- Senhas fortes: Utilize senhas únicas e ative a autenticação em dois fatores sempre que possível.
- Redes seguras: Evite usar conexões Wi-Fi públicas sem uma VPN.
A Kaspersky alerta que, embora o foco principal da campanha seja a Itália, a precisão do ataque e a possível origem brasileira dos criminosos exigem vigilância contínua.
