Hati-Hati! Trojan SambaSpy Target Pengguna Italia

GadgetDIVA - Tim Riset dan Analisis Global (GReAT/Global Research and Analysis Team) Kaspersky menemukan kampanye malware canggih yang menargetkan pengguna di Italia. Kampanye tersebut meliputi Trojan Akses Jarak Jauh (RAT) terbaru yang disebut SambaSpy.

Menurut laporan mereka, Trojan SambaSpy ini memiliki kemampuan seperti manajemen sistem berkas, mengontrol webcam, mencuri kata sandi dan mengatur desktop dari jauh. Jenis mawlare ini telah direkayasa untuk menginfeksi pengguna sistemnya yang menggunakan bahasa Italia.

Kampanye SambaSpy berlangsung sejak 24 Mei 2024. Menariknay, kampanye ini tak seperti kebanyakan serangan malware lainnya yang terjadi di banyak negara maupun bahasa.

Namun, kampanye ini menonjol karena penargetannya yang tepat. Hal tersebut disampaikan oleh Peneliti Keamanan Siber Senior GReAT Kaspersky Giampaolo Dedola.

“Biasanya, penjahat siber bertujuan untuk menginfeksi sebanyak mungkin pengguna, tetapi rantai infeksi SambaSpy mencakup pemeriksaan khusus untuk memastikan bahwa hanya pengguna Italia yang terpengaruh,” ungkap Giampaolo dalam pernyataan resminya dikutip pada Selasa (24/9).

Kaspersky mengidentifikasi dua rantai infeksi yang sedikit berbeda dari serangan malware pada umumnya. Salah satu metode infeksi ialah email phishing.

Metode tersebut nampaknya berasal dari perusahaan legal real estat Italia. Email tersebut meminta pengguna untuk melihat faktur dengan mengeklik tautan yang disematkan.

Kemudian, tautan tersebut akan mengarahkan pengguna ke layanan cloud Italia yang sah digunakan untuk pengelolaan faktur. Alih-alih pengguna diarahkan ke server web berbahaya, malware ini memvalidasi pengaturan browser dan bahasa.

Jika pengguna menjalankan Edge, Firefox atau Chrome dengan pengaturan bahasa Italia, maka mereka akan diarahkan ke URL OneDrive berbahaya dalam bentuk PDF yang berisi malware. Ini memulai pengunduhan dropper atau downloader, yang keduanya akhirnya mengirimkan SambaSpy RAT.

SambaSpy sendiri merupakan RAT berfitur lengkap yang ditulis dalam Java dan disamarkan menggunakan Zelix KlassMaster. Malware canggih ini dapat melakukan berabgai aktivitas berbahaya di antaranya sebagai berikut.

– Manajemen sistem file dan proses.
– Kontrol webcam.
– Pencatatan penekanan tombol (Keystroke logging) dan manipulasi clipboard.
– Manajemen desktop jarak jauh.
– Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera.
– Pengunggahan dan pengunduhan file
– Kemampuan untuk memuat plugin tambahan saat runtime.
– Mekanisme pemuatan plugin SambaSpy dan penggunaan pustaka seperti JNativeHook menunjukkan tingkat kecanggihan yang digunakan oleh para penyerang.

Meskipun target utamanya adalah pengguna di Italia, peneliti Kaspersky telah mengidentifikasi hubungan yang kuat dengan Brasil. Komentar dan pesan kesalahan dalam kode berbahaya ditulis dalam bahasa Portugis Brasil.

Hal ini menunjukkan bahwa pelaku ancamaan di balik serangan tersebut bisa jadi berasal dari Brasil. Lebih lanjut, infrastruktur yang digunakan dalam kampanye tersebut telah dikaitkan dengan serangan lain di Brasil dan Spanyol. Meskipun alat infeksi di wilayah ini sedikit berbeda dari yang digunakan di Italia.