SambaSpyに警告する、イタリアのユーザーをターゲットにした新しいマルウェア

ジャカルタ-カスペルスキーのグローバル調査分析チーム(GReAT /グローバル調査分析チーム)は、イタリアのユーザーのみを対象とした高度なマルウェアキャンペーンを発見しました。

SambaSpyと呼ばれるこのターゲットマルウェアは、リモートアクセストロイの木馬(RAT)の配布を含む、ファイルシステム管理、ウェブカメラ制御、パスワード盗難、リモートデスクトップ管理などの機能を備えています。

カスペルスキーの調査結果に基づくと、2024年5月に始まったマルウェアは、システムがイタリア語に設定されたユーザーのみに感染するように設計されており、この地域で最大の成功の可能性を保証します。

「私たちはこの攻撃の狭い標的に驚いています。通常、サイバー犯罪者はできるだけ多くのユーザーに感染することを目指していますが、SambaSpyの感染チェーンには、イタリアのユーザーだけが影響を受けることを確認するための特別なチェックが含まれています」と、GReAT Kasperskyの上級サイバーセキュリティ研究員であるGiampaolo Dedola氏は述べています。

カスペルスキーは、キャンペーンで使用された2つの少数の感染の連鎖を発見しました。1つの方法は、合法的なイタリアの不動産会社から派生したフィッシングメールによるものです。

電子メールは、埋め込まれたリンクをクリックして請求書を表示するようにユーザーに求めます。このリンクは、マルウェアがブラウザと言語の設定を検証する悪意のあるWebサーバーにユーザーを誘導します。

ユーザーがイタリア語の設定でEdge、Firefox、またはChromeを実行している場合、マルウェアを埋め込んだPDFを含む悪意のあるOneDrive URL にリダイレクトされます。それはドロッパーまたはダウンローダーのダウンロードを開始し、どちらも最終的にSambaSpy RATを送信します。

この高度なマルウェアは、以下を含むさまざまな悪意のあるアクティビティを実行する可能性があります。