JAKARTA, VIVA – Tim Riset dan Analisis Global (GREAT) Kaspersky telah menemukan kampanye malware canggih yang secara khusus menargetkan pengguna di Italia.
Kampanye tersebut melibatkan distribusi trojan akses jarak jauh (RAT) baru – yang oleh para peneliti diberi nama SambaSpy – yang memiliki kemampuan seperti manajemen sistem file, kontrol webcam, pencurian kata sandi, dan manajemen desktop jarak jauh.
Tidak seperti kebanyakan serangan malware yang menjangkau banyak negara dan bahasa, kampanye SambaSpy dikenal karena penargetan yang tepat.
Malware ini dirancang untuk hanya memengaruhi pengguna dengan pengaturan bahasa Italia, sehingga memastikan peluang keberhasilan maksimum di wilayah ini.
Menurut Kaspersky Telemetry, kampanye ini dimulai pada Mei 2024 dan tidak menunjukkan tanda-tanda melambat.
“Kami terkejut dengan sempitnya sasaran serangan siber ini karena, secara umum, mereka menginfeksi sebanyak mungkin pengguna, namun rantai infeksi SambaSpy mencakup tes khusus untuk memastikan bahwa hanya pengguna Italia yang terkena dampaknya,” kata Giambalo Tedola, peneliti keamanan siber senior di Kaspersky HEBAT. . ,
Kaspersky mengidentifikasi dua rantai infeksi berbeda yang digunakan dalam kampanye tersebut.
Metode infeksi yang sangat rumit dimulai dengan email phishing yang berasal dari perusahaan real estat resmi Italia.
Email tersebut meminta pengguna untuk melihat faktur dengan mengklik tautan yang disematkan. Tautan ini mengarahkan pengguna ke layanan cloud resmi Italia yang digunakan untuk manajemen faktur.
Namun, pengguna dialihkan ke server web berbahaya tempat malware memeriksa pengaturan browser dan bahasa.
Jika pengguna menjalankan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka akan dialihkan ke URL OneDrive berbahaya dengan PDF yang tertanam malware.
Ini meluncurkan dropper unduhan atau pengunduh yang pada akhirnya mengirimkan SambaSpy RAT.
SambaSpy adalah RAT berfitur lengkap yang ditulis dalam Java dan disamarkan menggunakan Zelix Classmaster. Malware canggih ini dapat melakukan berbagai tindakan berbahaya, antara lain:
• Sistem file dan pengelolaan proses • Kontrol webcam • Pencatatan keystroke dan manipulasi clipboard • Pengelolaan desktop jarak jauh Mencuri sandi dari browser utama seperti Chrome, Edge, dan Opera serta menggunakan pustaka seperti JNativeHook menunjukkan tingkat kecanggihan yang digunakan oleh penyerang.
