Eine Malware-Kampagne verbreitet den Remote Access Trojaner (RAT) SambaSpy über deutsche E-Mails an italienischsprachige Nutzer. SambaSpy verfügt über Funktionen wie Dateisystemverwaltung, Webcam-Steuerung, Passwortdiebstahl und Remote-Desktop-Verwaltung.
Die Malware wurde so entwickelt, dass sie nur Nutzer infiziert, deren Systeme auf Italienisch eingestellt sind. Kaspersky hat zwei unterschiedliche Infektionsketten identifiziert, die in der Kampagne verwendet werden. Eine der beiden Infektionsmethoden beginnt mit einer Phishing-E-Mail, die scheinbar von einem legitimen italienischen Immobilienunternehmen stammt, jedoch von einer deutschen E-Mail-Adresse versendet wird.Br
SambaSpy attackiert Nutzer mit italienischen Spracheinstellungen
In der E-Mail wird der Nutzer dazu aufgefordert, auf einen eingebetteten Link zu klicken, um eine Rechnung aufzurufen. Dieser Link führt die meisten Nutzer zu einem legitimen italienischen Cloud-Dienst, der zur Verwaltung von Rechnungen genutzt wird. Bestimmte Nutzer jedoch werden zu einem schädlichen Webserver umgeleitet, wo die Malware die Browser- und Spracheinstellungen überprüft. Handelt es sich bei dem verwendeten Browser um Edge, Firefox oder Chrome mit italienischen Spracheinstellungen, wird der Nutzer zu einer OneDrive-URL weitergeleitet, die ein schädliches PDF enthält und SambaSpy nachlädt.
Giampaolo Dedola, Cybersicherheitsexperte im Global Research & Analysis Team (GReAT) bei Kaspersky, erläutert:„Wir waren überrascht von der engen Zielausrichtung dieses Angriffs. Normalerweise versuchen Cyberkriminelle, so viele Nutzer wie möglich zu infizieren. Die Infektionskette von SambaSpy hingegen umfasst spezielle Prüfungen, um sicherzustellen, dass nur italienischsprachige Nutzer betroffen sind. Gleichzeitig haben wir starke Verbindungen zu Brasilien festgestellt, da Kommentare und Fehlermeldungen im Schadcode in brasilianischem Portugiesisch verfasst sind. Das könnte darauf hindeuten, dass der Bedrohungsakteur hinter den Angriffen aus Brasilien stammt. Darüber hinaus wurde die in der Kampagne verwendete Infrastruktur mit anderen Angriffen in Brasilien und Spanien in Verbindung gebracht, obwohl sich die Infektionstools in diesen Regionen leicht von denen in Italien unterscheiden.“
Kaspersky-Empfehlungen zum Schutz vor RATs
- Remote-Desktop-Dienste wie RDP nicht öffentlichen Netzwerken aussetzen, es sei denn, dies ist unbedingt erforderlich.
- Für alle Dienste einzigartige und sichere, starke Passwörter verwenden.
- VPN-Lösungen nutzen, um den Standort der eigenen Geräte zu verschleiern.
- Software stets aktualisieren, da die Ausnutzung dieser Art von Software ein häufiger Infektionsvektor für Ransomware ist.
- Verteidigungsstrategie auf die Erkennung lateraler Bewegungen und Datenexfiltration ins Internet konzentrieren. Dabei besonders auf ausgehenden Datenverkehr achten, um Verbindungen von Cyberkriminellen zu erkennen.
- Regelmäßig Backups erstellen, auf die im Notfall schnell zugegriffen werden kann.
- Threat Intelligence nutzen, um über die neuesten TTPs auf dem Laufenden zu bleiben, die von Bedrohungsakteuren verwendet werden.
- Alle Mitarbeiter in Cybersicherheit schulen. Spezielle Schulungskurse wie Kaspersky Automated Security Awareness Platform bieten individuelle Lerninhalte.
- Umfassende Sicherheitslösungen wie Kaspersky NEXT implementieren, die Endgeräteschutz und automatisierte Incident-Response-Funktionen kombinieren, um sich vor Cyberangriffen zu schützen.
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/