SambaSpy: Malware Berbahaya yang Menyerang Italia

BeritaNasional.com -  Tim Riset dan Analisis Global (GReAT) dari Kaspersky telah mengungkap kampanye malware yang canggih, khusus ditujukan kepada pengguna di Italia.

Kampanye ini melibatkan penyebaran Trojan Akses Jarak Jauh (RAT) yang baru, yang dinamakan SambaSpy, dan memiliki berbagai fungsi berbahaya, termasuk manajemen sistem berkas, kontrol webcam, pencurian kata sandi, serta manajemen desktop jarak jauh.

Berbeda dengan serangan malware lainnya yang seringkali menjangkau banyak negara dan bahasa, kampanye SambaSpy menonjol karena penargetan yang sangat spesifik.

Malware ini dirancang untuk menginfeksi hanya pengguna yang sistem operasinya menggunakan bahasa Italia, meningkatkan peluang keberhasilan di wilayah tersebut. Data telemetri Kaspersky menunjukkan bahwa kampanye ini mulai aktif pada Mei 2024 dan masih berlangsung hingga kini.

"Kami terkejut dengan penargetan yang begitu sempit dari serangan ini," ungkap Giampaolo Dedola, peneliti senior di GReAT Kaspersky.

"Umumnya, penjahat siber berusaha untuk menjangkau sebanyak mungkin pengguna, tetapi dalam hal ini, terdapat pemeriksaan khusus yang memastikan hanya pengguna dari Italia yang terkena dampak," ucapnya lebih lanjut.

Kaspersky mengidentifikasi dua metode infeksi yang sedikit berbeda dalam kampanye ini. Salah satu metode yang rumit dimulai dengan email phishing yang tampaknya berasal dari perusahaan real estat yang sah di Italia.

Email tersebut mengarahkan pengguna untuk melihat faktur melalui tautan yang disematkan, tetapi tautan tersebut mengarahkan mereka ke server berbahaya, di mana malware memeriksa pengaturan browser dan bahasa.

Jika pengguna menggunakan Edge, Firefox, atau Chrome dengan bahasa Italia, mereka diarahkan ke URL berbahaya yang berisi PDF yang menyimpan malware. PDF ini mengunduh dropper atau downloader yang kemudian menginstal RAT SambaSpy.

SambaSpy adalah RAT lengkap yang ditulis dalam Java dan dilindungi menggunakan Zelix KlassMaster. Malware ini mampu melakukan berbagai aktivitas berbahaya, termasuk:

Manajemen sistem file dan proses

- Kontrol webcam

- Pencatatan penekanan tombol dan manipulasi clipboard

- Manajemen desktop jarak jauh

- Pencurian kata sandi dari browser seperti Chrome, Edge, dan Opera

- Pengunggahan dan pengunduhan file

- Kemampuan memuat plugin tambahan saat runtime

- Penggunaan pustaka seperti JNativeHook menunjukkan tingkat kecanggihan yang tinggi dari serangan ini.

Walaupun target utama adalah pengguna di Italia, Kaspersky juga menemukan bukti yang menghubungkan kampanye ini dengan Brasil. Beberapa komentar dan pesan kesalahan dalam kode malware ditulis dalam bahasa Portugis Brasil, mengindikasikan bahwa para pelaku mungkin berasal dari Brasil.

Lebih lanjut, infrastruktur yang digunakan dalam serangan ini juga terhubung dengan serangan lain yang terjadi di Brasil dan Spanyol, meskipun metode infeksi yang digunakan di kedua negara tersebut sedikit berbeda dibandingkan dengan yang ada di Italia.