El troyano SambaSpy ahora baila con los usuarios italianos

El equipo global de investigación y análisis (GReAT) de Kaspersky ha descubierto una sofisticada campaña de malware que apunta exclusivamente a usuarios italianos. No obstante, han identificado que la infraestructura utilizada en la campaña se ha vinculado a otros ataques en España y Brasil. La campaña involucra la distribución de un nuevo troyano de acceso remoto (RAT, por sus siglas en inglés) denominado SambaSpy. Este malware cuenta con capacidades como la gestión del sistema de archivos, control de la cámara web, robo de contraseñas y gestión de escritorio remoto.

A diferencia de la mayoría de los ataques de malware que abarcan múltiples países e idiomas, la campaña SambaSpy destaca por su precisión en el objetivo. El malware ha sido diseñado para infectar únicamente a usuarios cuyos sistemas están configurados en italiano, lo que garantiza una alta probabilidad de éxito en esta región. Según la telemetría de Kaspersky, esta campaña comenzó en mayo de 2024 y no muestra signos de desaceleración.

“Nos sorprendió la orientación tan específica de este ataque. Normalmente, los cibercriminales buscan infectar a tantos usuarios como sea posible, pero la cadena de infección de SambaSpy incluye comprobaciones específicas para asegurar que solo los usuarios italianos se vean afectados”, comenta Giampaolo Dedola, analista senior de ciberseguridad en el equipo GReAT de Kaspersky.

Kaspersky identificó dos cadenas de infección ligeramente diferentes utilizadas en la campaña. En este sentido, se trata de un método de infección especialmente elaborado que comienza con un correo electrónico de phishing, el cual aparenta proceder de una empresa inmobiliaria italiana legítima, solicitando a los usuarios que vean una factura accediendo a un enlace incrustado que redirige a los usuarios a un servicio en la nube italiano legítimo utilizado para la gestión de facturas.

Sin embargo, algunos usuarios son reconducidos a un servidor web malicioso, donde el malware valida la configuración del navegador y el idioma. Si el usuario utiliza Edge, Firefox o Chrome con la configuración de idioma en italiano, son dirigidos a una URL maliciosa de OneDrive que contiene un PDF dañino. Esto inicia la descarga de un dropper o downloader, que finalmente entrega el RAT SambaSpy. SambaSpy es un RAT con todas las funciones escritas en Java y ofuscadas con Zelix KlassMaster.

Este malware avanzado puede realizar una serie de actividades maliciosas, que incluyen:

• Gestión del sistema de archivos y procesos.
• Control de la cámara web.
• Registro de pulsaciones de teclado y manipulación del portapapeles.
• Gestión de escritorio remoto.
• Robo de contraseñas de navegadores principales como Chrome, Edge y Opera.
• Subida y descarga de archivos.
• Capacidad para cargar plugins adicionales en tiempo de ejecución.

El mecanismo de carga de plugins de SambaSpy y el uso de bibliotecas como JNativeHook demuestran el nivel de sofisticación empleado por los atacantes.

Aunque el objetivo principal son los usuarios italianos, los analistas de Kaspersky han identificado que la infraestructura utilizada en la campaña se ha vinculado a otros ataques en España y Brasil, aunque las herramientas de infección en estas regiones difieren ligeramente de las utilizadas en Italia. Asimismo, han detectado fuertes vínculos con Brasil, dado que los comentarios y mensajes de error dentro del código malicioso están escritos en portugués brasileño, lo que sugiere que el actor de amenazas detrás de los ataques podría ser brasileño.

Para maximizar la seguridad de tu empresa, los expertos de Kaspersky recomiendan:

• No expongas los servicios de escritorio remoto, como RDP, a redes públicas a menos que sea absolutamente necesario, y utiliza siempre contraseñas seguras.
• Asegúrate de que tu VPN comercial y otras soluciones de software del lado del servidor estén siempre actualizadas, ya que la explotación de este tipo de software es un vector común de infección de ransomware. Mantén siempre las aplicaciones del cliente actualizadas.
• Enfoca tu estrategia de defensa en detectar movimientos laterales y la exfiltración de datos a Internet. Presta especial atención al tráfico saliente para detectar conexiones cibercriminales. Realiza copias de seguridad de los datos regularmente y asegúrate de poder acceder a ellos rápidamente en caso de emergencia. Utiliza la información más reciente de Threat Intelligence para estar al tanto de las TTP (tácticas, técnicas y procedimientos) utilizadas por los actores de amenazas.
• Utiliza servicios de Kaspersky Managed Detection and Response para ayudar a identificar y detener un ataque en las etapas iniciales, antes de que los atacantes logren sus objetivos finales.
• Para proteger el entorno corporativo, forma a tus empleados. Los cursos de formación dedicados, como los proporcionados en la plataforma Kaspersky Automated Security Awareness, pueden ser de ayuda.
• Obtén soluciones de seguridad complejas, que combinen protección de endpoints y funciones de respuesta a incidentes automatizadas, como Kaspersky NEXT.

Lee el informe completo sobre SambaSpy en Securelist. Además, los expertos de Kaspersky revelarán más información sobre las crecientes ciberamenazas en el evento de la compañía, Security Analyst Summit (SAS), que se celebrará del 22 al 25 de octubre, en Bali, Indonesia.