JAKARTA, ditphat.net – Tim Riset dan Analisis Global (GReAT) Kaspersky menemukan kampanye malware canggih yang khusus menargetkan pengguna di Italia.
Kampanye tersebut berisi Remote Access Trojan (RAT) baru – yang oleh para peneliti dijuluki SambaSpy – yang memiliki kemampuan seperti manajemen sistem file, kontrol webcam, pencurian kata sandi, dan manajemen komputer jarak jauh.
Tidak seperti kebanyakan serangan malware yang menjangkau banyak negara dan bahasa, kampanye SambaSpy menonjol karena penargetan yang tepat.
Malware ini dirancang untuk hanya menginfeksi pengguna yang sistemnya disetel ke bahasa Italia, sehingga memastikan peluang keberhasilan maksimum di wilayah ini.
Menurut telemetri Kaspersky, kampanye ini dimulai pada Mei 2024 dan tidak menunjukkan tanda-tanda melambat.
“Kami terkejut dengan sempitnya sasaran serangan siber ini, karena umumnya menyerang sebanyak mungkin pengguna, namun rantai infeksi SambaSpy mencakup kontrol khusus untuk memastikan bahwa hanya pengguna di Italia yang terkena dampaknya,” kata Senior Cybersecurity Kaspersky GReAT Giampalo Dedola. Peneliti.
Kaspersky mengidentifikasi dua rantai infeksi yang sedikit berbeda yang digunakan dalam kampanye tersebut.
Salah satu metode infeksi yang sangat rumit dimulai dengan email phishing yang tampaknya berasal dari perusahaan real estate Italia yang sah.
Email tersebut meminta pengguna untuk melihat faktur dengan mengklik tautan yang disematkan. Tautan ini mengarahkan pengguna ke layanan cloud resmi Italia yang digunakan untuk manajemen faktur.
Namun, pengguna malah dialihkan ke server web berbahaya, tempat malware memverifikasi pengaturan browser dan bahasa.
Jika pengguna menggunakan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka akan dialihkan ke URL OneDrive berbahaya yang berisi PDF yang disematkan malware.
Ini akan meluncurkan dropper atau pengunduh unduhan, yang keduanya pada akhirnya akan mengirimkan SambaSpy RAT.
SambaSpy adalah RAT lengkap yang ditulis dalam Java dan disamarkan menggunakan Zelix KlassMaster. Malware canggih ini dapat melakukan berbagai aktivitas berbahaya, antara lain:
• Manajemen sistem dan proses file • Kontrol webcam • Pencatatan log kunci dan manipulasi clipboard • Manajemen desktop jarak jauh • Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera • Mekanisme pengaturan waktu tambahan untuk pengunggahan dan pengunduhan file serta penggunaan perpustakaan seperti JNativeHook Menunjukkan tingkat kecanggihan yang digunakan oleh penyerang.