Detectan una nueva amenaza cibernética en Italia
Investigadores de Kaspersky han descubierto una campaña maliciosa que se enfoca exclusivamente en usuarios italianos. Este ataque utiliza un nuevo tipo de troyano, denominado SambaSpy, que permite el acceso remoto a sistemas infectados.
Características del malware SambaSpy
Este troyano cuenta con diversas funcionalidades avanzadas. Entre sus capacidades se encuentran la gestión del sistema de archivos y el control de la webcam. Además, roba contraseñas de navegadores populares. También permite el manejo de sesiones de escritorio de manera remota.
La singularidad de esta campaña radica en su enfoque. SambaSpy se dirige exclusivamente a sistemas configurados en italiano. Esto aumenta la probabilidad de éxito en el territorio italiano. Según Kaspersky, esta actividad maliciosa comenzó en mayo de 2024 y no muestra señales de disminuir.
Estrategias de infección utilizadas
Los expertos han identificado diferentes métodos de infección en esta campaña. Uno de los más complejos comienza con un correo electrónico de phishing. Este mensaje parece provenir de una empresa inmobiliaria en Italia. Invita a los usuarios a revisar una factura a través de un enlace.
El enlace puede redirigir a un servicio de nubes italiano o a un servidor web malicioso. Si los parámetros del navegador son correctos, el usuario es dirigido a un enlace malicioso de OneDrive. Allí, se descarga un archivo que contiene el troyano SambaSpy.
Un análisis más profundo de SambaSpy
- Gestión de archivos y procesos de forma remota.
- Control total de la cámara web.
- Registro de pulsaciones y manipulación del portapapeles.
- Acceso y manejo de escritorios de manera remota.
- Robo de contraseñas en navegadores como Chrome y Firefox.
- Descarga de archivos a voluntad.
- Capacidad para cargar complementos adicionales durante su ejecución.
La complejidad de SambaSpy es notable. Utiliza bibliotecas como JNativeHook. Esto demuestra el alto nivel de habilidad de los atacantes.
Inquietudes sobre la amenaza en expansión
A pesar de que los usuarios italianos son el principal objetivo, hay conexiones con Brasil. El código malicioso incluye comentarios en portugués de Brasil. Esto sugiere que el responsable podría ser de esa región. Además, la infraestructura de la campaña se ha asociado a ataques previos en Brasil y España, aunque con herramientas algo diferentes.
Para conocer más sobre las amenazas cibernéticas emergentes, se presentarán más detalles en el próximo Security Analyst Summit (SAS). Este evento se llevará a cabo del 22 al 25 de octubre en Bali. ¡No te lo pierdas!
Visita Securelist para acceder al informe completo sobre SambaSpy.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.