Trojan-170.jpg

Trojan brasileiro ataca usuários na Itália

A Kaspersky descobriu uma campanha sofisticada de malware que distribui o SambaSpy, trojan de acesso remoto (RAT), que tem como alvo clientes de bancos italianos. Esse malware é capaz de controlar webcams, roubar senhas e acessar remotamente os sistemas das vítimas. A investigação também revelou que o esquema tem vínculos com o Brasil, já que o código malicioso contém mensagens em português brasileiro, sugerindo uma possível origem do país dos criminosos.

Leia também
Ameaças de 2025 podem vir de pontos cegos
CISA e FBI condenam desenvolvimento em C e C++


Diferente da maioria dos ataques de malware, que forma uma ampla rede de alvos englobando vários países e idiomas, a campanha SambaSpy destaca-se por sua precisão. O malware foi projetado para infectar apenas usuários cujos sistemas estão definidos para o italiano, garantindo a máxima probabilidade de sucesso na Itália. De acordo com a telemetria da Kaspersky, essa campanha começou em maio de 2024 e não mostra qualquer sinal de desaceleração.

Embora o foco principal seja a Itália, os pesquisadores da Kaspersky identificaram vínculos significativos com o Brasil. O código malicioso contém comentários e mensagens de erro escritos em português do Brasil, sugerindo que os agentes de ameaça por trás dos ataques podem ser brasileiros. Além disso, a infraestrutura usada na campanha foi associada a outros ataques no Brasil e na Espanha, embora as ferramentas de infecção nessas regiões sejam um pouco diferentes das utilizadas na Itália.

A Kaspersky identificou duas cadeias de infecção ligeiramente diferentes que foram utilizadas nesta campanha. A primeira, um método de infecção especialmente elaborado que começa com um e-mail de phishing que parece vir de uma empresa imobiliária italiana legítima. O e-mail solicita que o usuário clique em um link incorporado para visualizar uma fatura. Esse link redireciona o usuário para um serviço de nuvem italiano válido, usado para gerenciar faturas.

No entanto, na segunda cadeia de infecção, determinados usuários são redirecionados para um servidor web malicioso, onde o malware valida as configurações do navegador e de idioma. Se o usuário tiver o Edge, o Firefox ou o Chrome configurados para o idioma italiano, será direcionado para uma URL maliciosa do OneDrive, que contém um PDF nocivo. Isso inicia o download de um arquivo que, posteriormente, transmite o RAT do SambaSpy.

Esse malware avançado é capaz de realizar diversas atividades maliciosas, que vão de controle de webcams até manipulação da área de transferência, gerenciamento remoto, roubo de senhas e download de arquivos. O mecanismo de carregamento de plug-ins do SambaSpy e o uso de bibliotecas como JNativeHook demonstram o nível de sofisticação empregado pelos golpistas.

Normalmente, os cibercriminosos visam infectar o maior número possível de usuários, mas a cadeia de infecção do SambaSpy inclui verificações específicas para assegurar que apenas usuários italianos sejam afetados”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina. “Embora o foco principal seja a Itália, as evidências de envolvimento brasileiro nos métodos dos atacantes nos mostram que devemos permanecer vigilantes e adotar práticas seguras online.

Para maximizar a segurança, a Kaspersky recomenda:

  • Cuidado com e-mails: Não clique em links ou abra anexos de remetentes desconhecidos.
  • Atualizações: Mantenha sistemas e aplicativos atualizados para evitar vulnerabilidades.
  • Antivírus: Use software de segurança confiável com proteção contra malwares.
  • Senhas fortes: Adote senhas únicas e use autenticação em dois fatores.
  • Redes seguras: Evite conexões Wi-Fi públicas sem VPN.