Trojaner
Lass uns heute über Ratten sprechen. Allerdings geht es dabei nicht um den englischen Begriff für langschwänzige Nagetiere, sondern um solche digitaler Art – Remote Access Trojans oder RATs. Es handelt sich um Trojaner, die Angreifer nutzen, um Fernzugriff auf ein Gerät zu erhalten. Normalerweise können diese RATs Programme installieren und deinstallieren, die Zwischenablage steuern und Tastatureingaben protokollieren.
Im Mai 2024 ist eine neue RAT-Rasse, SambaSpy, in unsere Rattenfalle gegangen. Lies weiter, um zu erfahren, wie diese Schadsoftware die Geräte ihrer Opfer infiziert und was sie anrichtet, sobald sie sich im System befindet.
Was SambaSpy ist
SambaSpy ist ein RAT-Trojaner mit vielen Funktionen, der mit Zelix KlassMaster verschleiert wird, was seine Erkennung und Analyse erheblich erschwert. Unser Team war jedoch der Herausforderung gewachsen und stellte fest, dass dieser neue RAT Folgendes kann:
- Verwalten des Dateisystems und der Prozesse
- Herunterladen und Hochladen von Dateien
- Steuerung der Webcam
- Aufnehmen von Screenshots
- Diebstahl von Passwörtern
- Laden zusätzlicher Plug-Ins
- Fernsteuerung des Desktops
- Mitschreiben von Tastatureingaben
- Verwalten der Zwischenablage
Beeindruckt? Es scheint, dass SambaSpy alles kann und somit das perfekte Werkzeug für einen James-Bond-Bösewicht des 21. Jahrhunderts ist. Aber auch diese umfangreiche Liste ist nicht vollständig: Erfahre mehr über die Fähigkeiten dieses RAT in unserer vollständigen Studie.
Die schädliche Kampagne, die wir aufgedeckt haben, zielte ausschließlich auf Opfer in Italien ab. Es wird dich überraschen, aber das sind eigentlich gute Nachrichten (für alle außer den Italienern). Bedrohungsakteure versuchen normalerweise, ein breites Netz auszuwerfen, um ihre Gewinne zu maximieren, diese Angreifer konzentrieren sich jedoch nur auf ein Land. Warum ist das also eine gute Sache? Wahrscheinlich testen die Angreifer zunächst das Terrain bei italienischen Benutzern, bevor sie ihre Aktivitäten auf andere Länder ausweiten – und wir sind bereits einen Schritt voraus, da wir mit SambaSpy vertraut sind und wissen, wie wir den Trojaner bekämpfen können. Alles, was unsere Benutzer weltweit tun müssen, ist sicherzustellen, dass sie über eine zuverlässige Sicherheitslösung verfügen, und dann können sie in dem Vertrauen weiterlesen, dass wir die Sache im Griff haben.
So verbreiten Angreifer SambaSpy
Kurz gesagt, genau wie viele andere RATs, per E-Mail. Die Angreifer nutzen zwei primäre Infektionsketten, die beide Phishing-E-Mails beinhalteten, die als Mitteilungen eines Immobilienmaklers getarnt waren. Das zentrale Element der E-Mail ist ein Handlungsaufruf zum Prüfen einer Rechnung durch Anklicken eines Hyperlinks.
Auf den ersten Blick scheint die E-Mail legitim zu sein – außer dass sie von einer deutschen E-Mail-Adresse gesendet wurde, aber auf Italienisch verfasst ist.
[img new-exotic-rat-sambaspy-01]
[Alt/Тitle/Caption] Auf den ersten Blick scheint die E-Mail legitim zu sein – außer dass sie von einer deutschen E-Mail-Adresse gesendet wurde, aber auf Italienisch verfasst ist.[/ATC]
Durch Anklicken des Links werden Benutzer auf eine schädliche Website weitergeleitet, die die Systemsprache und den verwendeten Browser überprüft. Wenn das Betriebssystem des potenziellen Opfers auf Italienisch eingestellt ist und sie den Link in Edge, Firefox oder Chrome öffnen, erhalten sie eine schädliche PDF-Datei, die ihr Gerät entweder mit einem Dropper oder einem Downloader infiziert. Der Unterschied zwischen beiden ist minimal: Der Dropper installiert den Trojaner sofort, während der Downloader zunächst die notwendigen Komponenten von den Servern der Angreifer herunterlädt.
Vor dem Start vergewissern Loader bzw. Dropper, dass das System nicht in einer virtuellen Maschine ausgeführt wird und – vor allem – dass die Betriebssystemsprache auf Italienisch eingestellt ist. Wenn beide Bedingungen erfüllt sind, ist das Gerät infiziert.
Benutzer, die diese Kriterien nicht erfüllen, werden auf die Website von FattureInCloud weitergeleitet, einer italienischen Cloud-basierten Lösung zum Speichern und Verwalten digitaler Rechnungen. Durch diese geschickte Tarnung können die Angreifer nur ein bestimmtes Publikum angreifen – alle anderen werden auf eine legitime Website umgeleitet.
Wer steckt hinter SambaSpy?
Wir müssen noch herausfinden, welche Gruppe hinter dieser hochentwickelten Verbreitung von SambaSpy steckt. Allerdings weisen Indizien darauf hin, dass die Angreifer brasilianisches Portugiesisch sprechen. Wir wissen außerdem, dass sie ihre Aktivitäten bereits auf Spanien und Brasilien ausweiten – wie die von der gleichen Gruppe in anderen erkannten Kampagnen verwendeten schädlichen Domänen belegen. Der Sprachencheck ist bei diesen Aktionen übrigens nicht mehr enthalten.
So schützt du dich vor Cyberkriminalität
Die wichtigste Erkenntnis aus dieser Geschichte ist die Infektionsmethode. Sie lässt darauf schließen, dass jeder, egal wo und egal welche Sprache, das Ziel der nächsten Kampagne sein könnte. Für die Angreifer spielt es keine große Rolle, wen sie treffen, und auch die Einzelheiten des Phishing-Köders sind nicht wichtig. Heute kann es sich um eine Rechnung vom Immobilienmakler handeln, morgen um einen Steuerbescheid und übermorgen um Flugtickets oder Reisegutscheine.
Hier ein paar Tipps und Empfehlungen, die dir dabei helfen, dich vor SambaSpy zu schützen:
- Installiere Kaspersky Premium, bevor dein Gerät Anzeichen einer Infektion Unsere Lösung erkennt und neutralisiert sowohl SambaSpy als auch andere Malware zuverlässig.
- Sei stets auf der Hut vor Phishing-E-Mails. Bevor du auf einen Link in deinem Posteingang klickst, solltest du dich kurz fragen: „Könnte es sich hier um einen Betrug handeln?“
Tipps