遙距存取木馬程式(Remote Access Trojan, RAT)能夠讓攻擊者對裝置進行遙距存取,並且可以安裝及移除程式,控制剪貼板和記錄鍵入,而在今年5月發現的SambaSpy不但功能全面,對於攻擊目標更十分挑剔。
甚麼是SambaSpy?
SambaSpy是功能全面的遙距存取木馬程式,通過代碼混淆令它難以被偵測及分析,不過研究人員仍然成功挑戰,發現它具備以下功能:
- 管理檔案系統和程序
- 下載和上載檔案
- 控制網絡攝影機
- 螢光幕撮圖
- 盜竊密碼
- 載入額外插件
- 遙距控制桌面
- 記錄鍵入
- 管理剪貼板
研究人員還發現SambaSpy的活動專門針對位於意大利的受害者,有別於一般把收益最大化的做法,這批攻擊者只針對一個國家,似乎正在為往後擴展至其他國家進行測試。
SambaSpy的傳播
SambaSpy和大部份的遙距存取木馬程式一樣,透過電郵進行傳播,攻擊者冒充地產經紀發送釣魚電郵,借檢查發票為藉口誘騙收件者點擊超連結,受害者會被帶到惡意網站檢查系統語言和使用的瀏覽器,如果潛在受害者使用的OS設定為意大利語並使用Edge、Firefox或Chrome打開連結,便會收到惡意PDF檔的滴管或下載器感染他們的裝置,前者會立即安裝木馬程式,後者期先從攻擊者的伺服器下載所需元件,在開始前,兩者都會檢查系統並非在虛擬機器上運作,更重要是OS語言是意大利語,當符合兩項條件就會對裝置進行感染。
不符合條件的用戶會被帶到FattureInCloud,意大利儲存和管理數碼發票的雲端方案,顯示他攻擊特定收件者,其他人會被帶到合法的網站。
SambaSpy背後幕後黑手
暫時仍未知道SambaSpy後面是哪個組織,但有證據顯示攻擊者操巴西葡語,而且已經把活動擴展至西班牙和巴西(惡意網域已經被使用在其他活動),而新的活動不再存在語言檢查。
防範SambaSpy
任何人、身處何地、操任何語言都有可能成為下一個活動的目標,對攻擊者而言他們不在意誰被攻擊,網絡釣魚透餌的細節也不重要,今天是地產經紀傳發票,之後可能是稅務通知、機票或旅遊優惠券,所以預防SambaSpy最重要是在出現感染的跡象前,安裝可靠的防護方案,並時刻提防釣魚電郵。
資料來源:Kaspersky Blog
