Descrizione e potenziali impatti

I ricercatori di sicurezza di Kaspersky hanno rilasciato un report relativo ad una campagna di distribuzione malware analizzata a maggio 2024, volta a distribuire il Remote Access Trojan (RAT) SambaSpy esclusivamente verso utenze localizzate sul territorio italiano.

La campagna osservata consiste nell’utilizzo della tipica e-mail phishing, proveniente da un indirizzo tedesco ma con riferimenti ad una società immobiliare italiana legittima.

Primo stadio della catena di infezione: la mail di phishing

La mail esorta la potenziale vittima a visualizzare un presunto documento ospitato su una risorsa remota (Figura 1).

Qualora dato seguito al link, la vittima viene reindirizzata verso un documento autentico ospitato su FattureInCloud, servizio legittimo per la memorizzazione e la gestione delle fatture digitali.

Contestualmente la vittima – qualora stia utilizzando come browser Edge, Firefox o Chrome configurati in lingua italiana – può essere reindirizzata verso una risorsa malevola, che ripropone loghi e riferimenti inerenti al servizio OneDrive di Microsoft (Figura 2).

Tale pagina notifica la presenza di un presunto documento PDF prelevabile tramite l’apposito bottone “VISUALIZZA DOCUMENTO”. Un eventuale azione su tale bottone comporta il download di un file JAR, ospitato sul noto servizio di Cloudsharing MediaFire, contenente il codice malevolo di un dropper/downloader.

Secondo stadio della catena di infezione: dropper/downloader

Il codice malevolo relativo al downloader effettua numerosi controlli al fine di verificare che l’ambiente di esecuzione non sia virtualizzato e che la lingua di sistema corrisponda a quella italiana; in caso contrario interrompe l’esecuzione.

Se tutti i controlli risultano soddisfatti, il downloader preleva ed esegue il RAT SambaSpy.

Nel caso del dropper, i controlli effettuati sono i medesimi, ma non avviene alcun download di ulteriore codice, poiché il malware è già presente all’interno del JAR.

Ultimo stadio della catena di infezione: SambaSpy

SambaSpy è un RAT sviluppato in Java e offuscato tramite Zelix KlassMaster, potente tool progettato per proteggere il bytecode dalla decompilazione e dal reverse engineering. Tale tool risulterebbe utilizzare tecnologie avanzate come l’offuscamento del flusso di esecuzione, la crittografia delle stringhe e degli interi, l’offuscamento e la modifica dei parametri dei metodi.

Nel dettaglio, l’offuscamento del flusso di esecuzione prevede lievi modifiche al bytecode al fine di modificare il flusso di controllo senza compromettere il funzionamento dello stesso. In genere, i costrutti di selezione (es. if… else…) ed i loop (es. while e for) vengono modificati in modo da non avere più un equivalente diretto nel codice sorgente Java. Il bytecode così offuscato costringe i decompilatori a inserire una serie di etichette e di istruzioni goto illegali nel codice sorgente decompilato. Tale codice è talvolta ulteriormente oscurato dagli errori generati del decompilatore.

In base alle analisi svolte dai ricercatori di sicurezza, si evidenzia che il malware in questione risulterebbe avere numerose funzionalità, tra le quali:

• gestire il filesystem;
• gestire i processi;
• esfiltrare e prelevare file;
• controllare la webcam;
• effettuare keylogging e screenshot;
• fornire un servizio di controllo remoto;
• carpire password salvate sul sistema (ad es. dai browser);
• caricare plugin malevoli a runtime;
• eseguire shell remote;
• interagire con la vittima.

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Mitre ATT&CK

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing/malspam diffidando da comunicazioni inattese;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• evitare di aprire file eseguibili (lnk, exe, bat, js, vbs, jar, ecc.) o documenti contenenti macro se non si è certi della loro liceità.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)¹ forniti da Kaspersky nel proprio report, disponibile nella sezione Riferimenti.

Riferimenti

https://securelist.com/sambaspy-rat-targets-italian-users/113851/

¹ Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.