Сізде егеуқұйрық пайда болыпты: SambaSpy трояны Италиядағы компания қызметкерлеріне шабуыл жасайды

2024 жылдың көктемінде Kaspersky GReAT («Касперский зертханасы» қауіптерді зерттеу және талдаудың жаһандық орталығы) сарапшылары SambaSpy-ді тапты. Бұл ДК-ге арналған қашықтан қол жетімділік (RAT) троян, ол итальяндық пайдаланушыларға бағытталған кибершабуылдарда қолданылады. Алайда, зиянкестер зиянды кейінірек басқа елдерде қолдану үшін осылай сынауы мүмкін.

Не істей алады. SambaSpy, атап айтқанда, файлдық жүйе мен процестерді басқара алады, веб-камераға кіріп, скриншоттар алады, пернелерді басуды есте сақтайды, алмасу буфері мен қашықтағы жұмыс үстелін басқарады, танымал браузерлерден — Chrome, Edge, Opera және басқалардан құпия сөздерді ұрлайды. Сонымен қатар, троян құрбанды құрылғыға жүктей алады және одан файлдарды жүктей алады, қосымша плагиндерді жүктей алады.

Құрылғыға қалай енеді. Шабуыл итальяндық жылжымайтын мүлік агенттігінің фишингтік хатынан басталады. Ықтимал құрбандарға кірістірілген түймені басу арқылы шотты қарау ұсынылады. Шындығында, оның артында сілтеме бар. Оны басқан кезде, пайдаланушылардың көпшілігі шоттарды басқару үшін заңды бұлттық қызметте болады. Алайда, жеке пайдаланушылар зиянды веб-серверге түседі, онда зиянды сценарий шолғыш пен тіл параметрлерін тексереді. Егер пайдаланушыда итальян тілінің параметрлері бар Edge, Firefox немесе Chrome браузерлері болса, ол зиянды PDF орналасқан бұлтты жадқа бағытталады. Егер сіз осы құжаттағы сілтемені бассаңыз, тамшы немесе жүктеуші құрылғыға енеді. Айырмашылық мынада: дроппер троянды бірден орнатады, ал жүктеуші алдымен шабуылдаушылардың серверлерінен қажетті компоненттерді жүктейді.

«Науқанның негізгі мақсаты — итальяндық қолданушылар. Сонымен қатар, біздің сарапшылар шабуылдардың артында португал тілінде сөйлейтін зиянкестер тұр деп болжайды, өйткені зиянды кодтағы түсініктемелер мен қате туралы хабарламалар португал тілінің Бразилиялық нұсқасында жазылған. Сонымен қатар, зиянкестер пайдаланатын Инфрақұрылым Бразилия мен Испаниядағы басқа шабуылдармен байланысты болды, дегенмен бұл аймақтардағы инфекция құралдары Италияда қолданылатындардан біршама ерекшеленеді», — деп түсіндіреді Kaspersky GReAT жетекші сарапшысы Татьяна Шишкова.

SambaSpy туралы есептің толық нұсқасымен мына сілтеме бойынша танысуға болады: https://securelist.ru/sambaspy-rat-targets-italian-users/110592/.

Мұндай кибершабуылдардан қорғау үшін «Касперский зертханасы» ұсынады:

интернеттен қашықтағы жұмыс үстелі қызметтеріне (мысалы, RDP) кіруге рұқсат бермеңіз;

тиімділігі тәуелсіз сынақ зертханаларымен расталатын кешенді қорғаныс шешімдерін қолданыңыз. Kaspersky Symphony құрамына кіретін технологиялар жұмыс орындарын сенімді қорғауды қамтамасыз етуді, кез келген күрделіліктегі шабуылдарды ерте сатыларда анықтауды және тоқтатуды, әлемдегі кибершабуылдар туралы өзекті деректерді жинауды және қызметкерлерді цифрлық сауаттылықтың негізгі дағдыларына үйретуді қамтитын икемді және тиімді қауіпсіздік жүйесін құруға мүмкіндік береді;

өз қызметкерлеріне корпоративтік ортаның қауіпсіздігін қамтамасыз ету мәселелері бойынша нұсқау беру. Бұған, мысалы, Kaspersky automated Security Awareness Platform-да табуға болатын мамандандырылған курстар көмектесе алады;

киберқауіпсіздік қызметкерлеріне зиянкестердің ең жаңа тактикасы, әдістері мен процедуралары туралы жаңа ақпаратқа қол жеткізу мүмкіндігін беру, мысалы, Threat Intelligence қызметтері арқылы;

Kaspersky Managed Detection and Response сияқты басқарылатын анықтау және қауіп-қатерге жауап беру үшін MDR қызметтерін пайдаланыңыз. Бұл шабуылды ерте анықтауға және шабуылдаушылар өз мақсаттарына жеткенге дейін оның одан әрі дамуына жол бермеуге көмектеседі.