Hoje vamos abordar um tipo específico de malware conhecido como RAT (Remote Access Trojan) ou cavalo de Troia de acesso remoto. Esses RATs são uma ferramenta perigosa nas mãos de cibercriminosos, pois permitem que invasores acessem e controlem dispositivos remotamente, possibilitando o roubo de dados, a instalação de programas maliciosos e até o controle de funções como webcam e teclado.
Recentemente, a Kaspersky, parceira Brasiline, identificou uma nova e sofisticada variante desse tipo de ameaça: o SambaSpy, que caiu em sua rede de detecção em maio de 2024. Neste artigo, vamos explicar como esse malware opera e o que você pode fazer para se proteger.
O SambaSpy é um cavalo de Troia altamente sofisticado que se disfarça utilizando técnicas avançadas de camuflagem, como o Zelix KlassMaster, para dificultar sua detecção e análise. A partir da pesquisa da Kaspersky, descobriu-se que este RAT possui uma gama extensa de funcionalidades, incluindo:
Essas capacidades tornam o SambaSpy uma ferramenta ideal para cibercriminosos, especialmente por seu foco em roubo de dados e vigilância remota.
A infecção ocorre principalmente por meio de e-mails de phishing. Em campanhas recentes, observou-se que os criminosos utilizam mensagens disfarçadas como comunicações de uma agência imobiliária. O objetivo é convencer a vítima a clicar em um link para visualizar uma suposta fatura. Ao clicar, o usuário é redirecionado para um site malicioso que verifica o idioma e o navegador do sistema.
Se o dispositivo estiver configurado para o idioma italiano e o navegador for Edge, Firefox ou Chrome, o usuário recebe um arquivo PDF malicioso que inicia a infecção, seja por meio de um dropper (que instala o malware imediatamente) ou de um downloader (que baixa os componentes necessários).
Ambos verificam se o sistema não está em uma máquina virtual e, principalmente, se o idioma é italiano, garantindo assim que a vítima está dentro do perfil alvo.
Caso o dispositivo não atenda a esses critérios, o usuário é redirecionado para um site legítimo de faturas na nuvem, chamado FattureInCloud, um detalhe astuto que ajuda a mascarar o ataque.
A principal diferença do SambaSpy em relação a outros RATs é sua seletividade. Até o momento, ele tem como alvo exclusivo vítimas na Itália. Isso pode ser um indicativo de que os criminosos estão testando a eficácia do malware antes de expandir a campanha para outros países, como Brasil e Espanha, já que encontraram-se evidências de operações em expansão. Além disso, suspeita-se que os responsáveis por essa campanha falem português brasileiro, o que reforça a possibilidade de ataques futuros em nossa região.
A lição mais importante desse novo malware é que, embora o SambaSpy esteja focado na Itália, ataques direcionados podem ocorrer em qualquer lugar e a qualquer momento. A forma como o phishing se adapta ao idioma e contexto das vítimas é um alerta para que todos fiquem atentos ao que recebem por e-mail.
A segurança digital nunca foi tão importante, e a Brasiline Tecnologia, junto com parceiros como a Kaspersky, está comprometida em manter você e sua empresa seguros. Continue atento, e conte conosco para soluções eficazes em cibersegurança.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
Conheça nossos cases de sucesso
Entre em contato conosco
Siga-nos no Instagram