{"id":23002,"date":"2024-09-27T15:21:34","date_gmt":"2024-09-27T18:21:34","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23002"},"modified":"2024-10-04T17:14:09","modified_gmt":"2024-10-04T20:14:09","slug":"new-exotic-rat-sambaspy","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/new-exotic-rat-sambaspy\/23002\/","title":{"rendered":"SambaSpy: um novo cavalo de Troia de acesso remoto"},"content":{"rendered":"<p>Hoje, vamos falar sobre \u201c<em>rats\u201d<\/em>. Mas para n\u00e3o gerar confus\u00f5es, vamos ser diretos: estamos falando dos cavalos de Troia de acesso remoto ou <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-access-trojan-rat\/\" target=\"_blank\" rel=\"noopener\">RATs<\/a>. Eles s\u00e3o usados pelos invasores para obter acesso remoto a um dispositivo. Normalmente, esses RATs podem instalar e desinstalar programas, controlar a \u00e1rea de transfer\u00eancia e registrar o toque no teclado.<\/p>\n<p>Em maio de 2024, uma nova esp\u00e9cie de RAT, o SambaSpy, caiu em nossa armadilha. Para saber como esse malware infecta os dispositivos das v\u00edtimas e o que ele faz depois da invas\u00e3o, continue por aqui.<\/p>\n<h2>O que \u00e9 o SambaSpy<\/h2>\n<p>O SambaSpy \u00e9 um cavalo de troia do tipo RAT, rico em recursos e <a href=\"https:\/\/en.wikipedia.org\/wiki\/Obfuscation_(software)\" target=\"_blank\" rel=\"noopener nofollow\">disfar\u00e7ado<\/a> com o uso do <a href=\"https:\/\/www.zelix.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Zelix KlassMaster<\/a>, o que torna sua detec\u00e7\u00e3o e an\u00e1lise muito mais dif\u00edceis. No entanto, nossa equipe encarou o desafio e descobriu que o novo RAT \u00e9 capaz de:<\/p>\n<ul>\n<li>Gerenciar o sistema de arquivos e processos<\/li>\n<li>Baixar e enviar arquivos<\/li>\n<li>Controlar a webcam<\/li>\n<li>Fazer capturas de tela<\/li>\n<li>Roubar senhas<\/li>\n<li>Carregar plug-ins complementares<\/li>\n<li>Controlar remotamente a \u00e1rea de trabalho<\/li>\n<li>Gravar as teclas<\/li>\n<li>Gerenciar a \u00e1rea de transfer\u00eancia<\/li>\n<\/ul>\n<p>Impressionante, n\u00e3o? Parece que o SambaSpy pode fazer tudo, ou seja, a ferramenta \u00e9 perfeita para um vil\u00e3o dos filmes de James Bond no s\u00e9culo XXI. Mas, ainda assim, essa extensa lista n\u00e3o indicou tudo: leia mais sobre as capacidades do RAT na <a href=\"https:\/\/securelist.com\/sambaspy-rat-targets-italian-users\/113851\/\" target=\"_blank\" rel=\"noopener\">vers\u00e3o completa do nosso estudo<\/a>.<\/p>\n<p>A campanha maliciosa que descobrimos tinha como alvo exclusivo v\u00edtimas na It\u00e1lia. Talvez isso cause surpresa, mas \u00e9 uma boa not\u00edcia (para todo mundo, menos os italianos). Os agentes mal-intencionados geralmente tentam lan\u00e7ar um ataque amplo para maximizar os lucros, mas esses invasores est\u00e3o focados em apenas um pa\u00eds. Ent\u00e3o, por que isso \u00e9 uma coisa boa? \u00c9 prov\u00e1vel que os invasores estejam testando o ataque com usu\u00e1rios italianos antes de expandir as opera\u00e7\u00f5es para outros pa\u00edses. Assim, estamos um passo \u00e0 frente deles, pois estamos familiarizados com o SambaSpy e como combat\u00ea-lo. O que nossos usu\u00e1rios em todo o mundo precisam fazer \u00e9 garantir que tenham uma <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00e3o de seguran\u00e7a confi\u00e1vel<\/a>\u00a0e continuar esta leitura sabendo que podem contar conosco para isso.<\/p>\n<h2>Como os invasores espalham o SambaSpy<\/h2>\n<p>Em poucas palavras, assim como muitos outros RATs: por e-mail. Os invasores usaram duas cadeias de infec\u00e7\u00e3o prim\u00e1rias, ambas envolvendo e-mails de phishing disfar\u00e7ados de comunica\u00e7\u00f5es de uma ag\u00eancia imobili\u00e1ria. O elemento-chave no e-mail \u00e9 uma chamada para verificar uma fatura por meio de um clique em um hiperlink.<\/p>\n<div id=\"attachment_23008\" style=\"width: 854px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/09\/27115906\/new-exotic-rat-sambaspy-01.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23008\" class=\"wp-image-23008 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/09\/27115906\/new-exotic-rat-sambaspy-01.png\" alt=\"\u00c0 primeira vista, o e-mail parece ser leg\u00edtimo, exceto pelo fato de ter sido enviado por um endere\u00e7o de e-mail alem\u00e3o, mas escrito em italiano.\" width=\"844\" height=\"440\"><\/a><p id=\"caption-attachment-23008\" class=\"wp-caption-text\">\u00c0 primeira vista, o e-mail parece ser leg\u00edtimo, exceto pelo fato de ter sido enviado por um endere\u00e7o de e-mail alem\u00e3o, mas escrito em italiano.<\/p><\/div>\n<p>Clicar no link redireciona os usu\u00e1rios para um site malicioso que verifica o idioma do sistema e o navegador usado. Caso o sistema operacional da potencial v\u00edtima esteja definido para o idioma italiano, e ela abra o link no Edge, Firefox ou Chrome, ela receber\u00e1 um arquivo PDF malicioso que infecta o dispositivo com um dropper ou um downloader. A diferen\u00e7a entre os dois \u00e9 m\u00ednima: o dropper instala o cavalo de Troia imediatamente, enquanto o downloader primeiro baixa os componentes necess\u00e1rios dos servidores dos invasores.<\/p>\n<p>Antes de come\u00e7ar, tanto o downloader quanto o dropper verificam se o sistema n\u00e3o est\u00e1 sendo executado em uma m\u00e1quina virtual e, o mais importante, se o idioma do sistema operacional est\u00e1 definido como italiano. Se ambas as condi\u00e7\u00f5es forem atendidas, o dispositivo estar\u00e1 infectado.<\/p>\n<p>Os usu\u00e1rios que n\u00e3o atenderem a esses crit\u00e9rios ser\u00e3o redirecionados para o site da <a href=\"https:\/\/www.fattureincloud.it\/\" target=\"_blank\" rel=\"noopener nofollow\">FattureInCloud<\/a>, uma solu\u00e7\u00e3o italiana baseada em nuvem para armazenar e gerenciar faturas digitais. Esse disfarce inteligente permite que os invasores tenham como alvo apenas um p\u00fablico espec\u00edfico, ou seja, todos os outros ser\u00e3o redirecionados para um site leg\u00edtimo.<\/p>\n<h2>Quem est\u00e1 por tr\u00e1s do SambaSpy?<\/h2>\n<p>Ainda precisamos determinar qual \u00e9 o grupo que est\u00e1 por tr\u00e1s da sofisticada distribui\u00e7\u00e3o do SambaSpy. No entanto, evid\u00eancias circunstanciais indicaram que os invasores falam portugu\u00eas brasileiro. Tamb\u00e9m sabemos que eles j\u00e1 est\u00e3o expandindo as opera\u00e7\u00f5es para a Espanha e o Brasil, o que \u00e9 evidenciado por dom\u00ednios maliciosos usados pelo mesmo grupo em outras campanhas detectadas. A prop\u00f3sito, essas outras campanhas n\u00e3o incluem a verifica\u00e7\u00e3o do idioma.<\/p>\n<h2>Como se proteger do SambaSpy<\/h2>\n<p>A principal li\u00e7\u00e3o dessa hist\u00f3ria \u00e9 o m\u00e9todo de infec\u00e7\u00e3o, o que sugere que qualquer pessoa, em qualquer lugar, falando qualquer idioma, pode ser o alvo da pr\u00f3xima campanha. Para os invasores, n\u00e3o importa quem s\u00e3o as pessoas atacadas, e os detalhes da isca de phishing s\u00e3o igualmente irrelevantes. Hoje, pode ser uma fatura de uma imobili\u00e1ria; amanh\u00e3, uma notifica\u00e7\u00e3o fiscal; e depois de amanh\u00e3, passagens a\u00e9reas ou vouchers de viagem.<\/p>\n<p>Aqui est\u00e3o algumas dicas e recomenda\u00e7\u00f5es \u00fateis para se proteger do SambaSpy:<\/p>\n<ul>\n<li>Instale o <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0antes que o dispositivo demonstre qualquer <a href=\"https:\/\/www.kaspersky.com.br\/blog\/symptoms-of-infection\/20295\/\" target=\"_blank\" rel=\"noopener\">sinal de infec\u00e7\u00e3o<\/a>. Nossa solu\u00e7\u00e3o detecta e neutraliza de forma confi\u00e1vel tanto o SambaSpy quanto outros malwares.<\/li>\n<li>Tenha sempre cuidado com e-mails de phishing. Antes de clicar em um link na caixa de entrada, pare e reflita: \u201cEsse link pode ser um golpe?\u201d<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"premium-generic\" value=\"19875\">\n","protected":false},"excerpt":{"rendered":"<p>Descobrimos um novo cavalo de Troia muito seletivo em rela\u00e7\u00e3o \u00e0s suas v\u00edtimas.<\/p>\n","protected":false},"author":2706,"featured_media":23006,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1028,1029],"tags":[3308,1125,221,254,253],"class_list":{"0":"post-23002","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-technology","9":"tag-boletins-informativos","10":"tag-e-mail","11":"tag-phishing","12":"tag-rat","13":"tag-spyware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-exotic-rat-sambaspy\/23002\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/new-exotic-rat-sambaspy\/28007\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/23276\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/12065\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-exotic-rat-sambaspy\/28164\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/27716\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-exotic-rat-sambaspy\/30440\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-exotic-rat-sambaspy\/29201\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-exotic-rat-sambaspy\/38246\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-exotic-rat-sambaspy\/12828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/52179\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-exotic-rat-sambaspy\/22235\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/new-exotic-rat-sambaspy\/31640\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/new-exotic-rat-sambaspy\/28285\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-exotic-rat-sambaspy\/34095\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-exotic-rat-sambaspy\/33751\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/rat\/","name":"RAT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23002","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=23002"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23002\/revisions"}],"predecessor-version":[{"id":23030,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23002\/revisions\/23030"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/23006"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=23002"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=23002"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=23002"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}