Durante il Maggio 2024 i ricercatori di Kaspersky hanno scoperto una serie di attacchi malware che colpiscono esclusivamente utenti italiani. Il fatto è risultato curioso, dal momento che solitamente gli hacker coinvolgono il maggior numero di Paesi possibile per massimizzare la possibilità di guadagno. I ricercatori hanno scoperto che i pirati informatici stavano consegnando un nuovo RAT (Remote Access Trojan) come payload finale, che hanno rinominato SambaSpy.

Questo malware si articola in due catene di infezione di poco dissimili tra loro: tutto inizia con una mail di phishing da un indirizzo di posta elettronica tedesco, che informa (in italiano) di una fattura da pagare e rimanda ad un servizio cloud utilizzato per la gestione delle fatture.

Leggi anche: SITA offre un prodotto per la sicurezza del trasporto aereo

In alcuni casi, invece, il malware indirizza l’utente ad un server dannoso scelto in base alle impostazioni del browser e della lingua. In questo modo, sul dispositivo viene installato un downloader in grado di scaricare il RAT.

SambaSpy è in grado di eseguire attività dannose come gestire file system, accedere alla webcam, registrare l’ordine dei tasti premuti, rubare password dai browser principali e caricare o scaricare file.

Il livello di complessità del malware è molto alto, come confermato dal meccanismo di caricamento dei plugin utilizzati e dall’uso di library come JnativeHook. In base a quanto trovato sui codici, il malware potrebbe provenire dal Brasile o dal Portogallo.

Cybsec-news.it vi invita alla prossima edizione della CYBSEC-EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.