Malware yang sebelumnya tidak terdokumentasi bernama SambaSpy secara eksklusif menargetkan pengguna di Italia melalui kampanye phishing yang diatur oleh aktor ancaman yang diduga berbahasa Portugis Brasil.
“Pelaku ancaman biasanya mencoba menebar jaring yang luas untuk memaksimalkan keuntungan mereka, tetapi para penyerang ini hanya berfokus pada satu negara,” kata Kaspersky dalam analisis terbarunya. “Kemungkinan besar para penyerang menguji coba serangan mereka dengan pengguna Italia sebelum memperluas operasi mereka ke negara lain.”
Titik awal serangan adalah email phishing yang menyertakan lampiran HTML atau tautan tertanam yang memulai proses infeksi. Jika lampiran HTML dibuka, arsip ZIP yang berisi pengunduh sementara atau dropper digunakan untuk menyebarkan dan meluncurkan muatan RAT multifungsi.
Pengunduh, pada bagiannya, bertanggung jawab untuk mengambil malware dari server jarak jauh. Di sisi lain, dropper, melakukan hal yang sama, tetapi mengekstrak payload dari arsip alih-alih mengambilnya dari lokasi eksternal.
Rangkaian infeksi kedua dengan tautan jebakan jauh lebih rumit, karena dengan mengkliknya akan mengarahkan pengguna ke faktur sah yang dihosting di FattureInCloud jika mereka bukan target yang dituju.
Dalam skenario alternatif, mengklik URL yang sama akan membawa korban ke server web berbahaya yang menyajikan halaman HTML dengan kode JavaScript yang menampilkan komentar yang ditulis dalam bahasa Portugis Brasil.
“Aplikasi ini mengarahkan pengguna ke URL OneDrive yang berbahaya, tetapi hanya jika mereka menjalankan Edge, Firefox, atau Chrome dengan bahasa yang diatur ke Italia,” kata vendor keamanan siber Rusia tersebut. “Jika pengguna tidak lolos pemeriksaan ini, mereka akan tetap berada di halaman tersebut.”
Pengguna yang memenuhi persyaratan ini akan diberikan dokumen PDF yang dihosting di Microsoft OneDrive yang memerintahkan pengguna untuk mengklik hyperlink guna melihat dokumen, setelah itu mereka akan diarahkan ke file JAR berbahaya yang dihosting di MediaFire yang berisi pengunduh atau dropper seperti sebelumnya.
Sebuah trojan akses jarak jauh berfitur lengkap yang dikembangkan di Java, SambaSpy tidak lain adalah pisau Swiss Army yang dapat menangani manajemen sistem berkas, manajemen proses, manajemen desktop jarak jauh, pengunggahan/pengunduhan berkas, kontrol webcam, pencatatan tombol dan pelacakan clipboard, tangkapan layar, serta shell jarak jauh.
Ia juga dilengkapi untuk memuat plugin tambahan saat dijalankan dengan meluncurkan file pada disk yang sebelumnya diunduh oleh RAT, yang memungkinkannya untuk menambah kemampuannya sesuai kebutuhan. Selain itu, ia dirancang untuk mencuri kredensial dari peramban web seperti Chrome, Edge, Opera, Brave, Iridium, dan Vivaldi.
Bukti infrastruktur menunjukkan bahwa aktor ancaman di balik kampanye ini juga mengarahkan pandangannya ke Brasil dan Spanyol, yang mengarah pada perluasan operasional.
“Ada berbagai koneksi dengan Brasil, seperti artefak bahasa dalam kode dan domain yang menargetkan pengguna Brasil,” kata Kaspersky. “Hal ini sejalan dengan fakta bahwa penyerang dari Amerika Latin sering menargetkan negara-negara Eropa dengan bahasa yang sangat mirip, yaitu Italia, Spanyol, dan Portugal.”
Kampanye Baru BBTok dan Mekotio Menargetkan Amerika Latin
Perkembangan ini terjadi beberapa minggu setelah Trend Micro memperingatkan adanya lonjakan kampanye yang mengirimkan trojan perbankan seperti BBTok, Grandoreiro, dan Mekotio yang menargetkan kawasan Amerika Latin melalui penipuan phishing yang memanfaatkan transaksi bisnis dan transaksi terkait peradilan sebagai umpan.
Mekotio “menggunakan teknik baru di mana skrip PowerShell trojan kini dikaburkan, sehingga meningkatkan kemampuannya untuk menghindari deteksi,” kata perusahaan itu, menyoroti penggunaan tautan phishing oleh BBTok untuk mengunduh file ZIP atau ISO yang berisi file LNK yang bertindak sebagai titik pemicu infeksi.
File LNK digunakan untuk maju ke langkah berikutnya dengan meluncurkan biner MSBuild.exe yang sah, yang ada dalam file ISO. Selanjutnya, file XML berbahaya yang juga tersembunyi dalam arsip ISO dimuat, yang kemudian memanfaatkan rundll32.exe untuk meluncurkan muatan BBTok DLL.
“Dengan menggunakan utilitas Windows yang sah MSBuild.exe, penyerang dapat mengeksekusi kode berbahaya mereka tanpa terdeteksi,” catat Trend Micro.
Rangkaian serangan yang dikaitkan dengan Mekotio dimulai dengan URL berbahaya dalam email phishing yang, jika diklik, akan mengarahkan pengguna ke situs web palsu yang mengirimkan arsip ZIP berisi file batch yang dirancang untuk menjalankan skrip PowerShell.
Skrip PowerShell bertindak sebagai pengunduh tahap kedua untuk meluncurkan trojan melalui skrip AutoHotKey, tetapi tidak sebelum melakukan pengintaian terhadap lingkungan korban untuk mengonfirmasi lokasinya di salah satu negara yang menjadi target.
“Penipuan phishing yang semakin canggih yang menargetkan pengguna Amerika Latin untuk mencuri informasi perbankan yang sensitif dan melakukan transaksi perbankan yang tidak sah menggarisbawahi kebutuhan mendesak akan tindakan keamanan siber yang lebih baik terhadap metode yang semakin canggih yang digunakan oleh penjahat siber,” kata peneliti Trend Micro.
“Trojan ini [have] “semakin mahir menghindari deteksi dan mencuri informasi sensitif sementara geng di belakang mereka menjadi lebih berani dalam menargetkan kelompok yang lebih besar untuk mendapatkan lebih banyak keuntungan.”