SambaSpy : Le cheval de Troie qui s’en prend aux utilisateurs italiens
septembre 2024 par Kaspersky
Les chercheurs de Kaspersky ont mis au jour une campagne sophistiquée ciblant exclusivement les utilisateurs italiens. Cette dernière consiste à distribuer un nouveau cheval de Troie d’accès à distance (RAT) que les experts ont baptisé SambaSpy, doté de fonctionnalités incluant la gestion du système de fichiers, le contrôle de la webcam, le vol de mot de passe et la gestion du bureau à distance.
Contrairement à la plupart des attaques par logiciels malveillants, qui couvrent habituellement un large éventail de pays et de langues, la campagne SambaSpy se distingue par la précision de son ciblage. Le malware a été conçu pour n’infecter que les systèmes configurés en italien, ce qui garantit une probabilité maximale que ces attaques arrivent à leur terme sur le territoire italien. Selon la télémétrie de Kaspersky, cette campagne a débuté en mai 2024 et ne montre aucun signe de fléchissement.
« Le ciblage restreint de cette campagne est étonnant », commente Giampaolo Dedola, chercheur principal en cybersécurité au GReAT de Kaspersky. « En général, les cybercriminels ont pour objectif d’infecter le plus grand nombre d’utilisateurs possible, mais la chaîne d’infection de SambaSpy contient des vérifications spécifiques afin de s’assurer que seuls les utilisateurs italiens soient touchés. »
Kaspersky a identifié deux types de chaînes d’infection légèrement différentes utilisées dans le cadre de la campagne. Une des méthodes d’infection les plus élaborées commence par un mail de phishing semblant provenir d’une société immobilière italienne. Le message invite les internautes à consulter une facture en suivant un lien intégré. Ce lien redirige les utilisateurs vers un service cloud italien destiné à la gestion des factures.
Toutefois, dans certains cas, les utilisateurs sont redirigés vers un serveur web malveillant, où le malware valide les paramètres du navigateur et de la langue. Les utilisateurs qui utilisent Edge, Firefox ou Chrome avec des paramètres de langue italiens sont dirigés vers une URL OneDrive malveillante contenant un PDF dangereux. Le téléchargement d’un dropper ou d’un downloader s’enclenche alors, et tous deux finissent par livrer le RAT SambaSpy.
SambaSpy est un RAT complet écrit en Java et obscurci à l’aide de Zelix KlassMaster. Ce programme malveillant avancé peut effectuer toute une série d’activités, y compris :
• La gestion du système de fichier et des processus
• Le contrôle de la webcam
• L’enregistrement des saisies et la manipulation du presse-papiers
• La gestion des bureaux à distance
• Le vol de mot de passe dans les principaux navigateurs tels que Chrome, Edge et Opera
• Le téléchargement de fichiers
• La capacité de charger des plugins supplémentaires au moment de l’exécution
Le mécanisme de chargement de plugins de SambaSpy et l’utilisation de bibliothèques telles que JNativeHook témoignent du niveau de sophistication des attaquants.
Si les utilisateurs italiens sont les premiers visés, les chercheurs de Kaspersky ont identifié des liens étroits avec le Brésil. Les commentaires et les erreurs contenus dans le code malveillant sont rédigés en portugais brésilien, ce qui laisse à penser que l’acteur de la menace pourrait être brésilien. Par ailleurs, l’infrastructure utilisée dans le cadre de cette campagne a été reliée à d’autres attaques au Brésil et en Espagne, bien que les outils d’infection utilisés dans ces régions diffèrent légèrement de ceux utilisés en Italie.