Un nuovo virus, apparentemente creato in Brasile, attacca solo i PC italiani: è SambaSpy e può svuotare il conto corrente delle vittime

Si chiama SambaSpy, è un pericolosissimo “RAT” ed è stato scoperto dal Global Research and Analysis Team (GReAT) di Kaspersky. Ma, soprattutto, è un malware molto diverso dagli altri perché, a differenza dal virus tipico che prova a infettare i computer di ogni parte del mondo, SambaSpy attacca solo i PC impostati in lingua italiana.

Uno strano modus operandi, che punta più sulla qualità dell’attacco che sulla quantità dei possibili bersagli, tanto è vero che la campagna di infezione è decisamente più raffinata rispetto alla media, risultando decisamente ben studiata e ben realizzata. Come al solito, però, tutto parte da una email.

Da dove viene SambaSpy

La catena di eventi che porta all’infezione di SambaSpy è, in realtà, duplice: i ricercatori, infatti, ne hanno scoperte già un paio, leggermente diverse tra di loro. La prima inizia tramite una email di phishing, che apparentemente proviene da una nota società immobiliare italiana. Questa email ha per oggetto una fantomatica fattura da visualizzare e scaricare.

Per visualizzare la fattura l’utente deve fare clic su un link, che porta ad un servizio di fatture in cloud reale e legittimo. Tutto questo rende molto credibili il messaggio e la fattura, rassicurando le vittime e convincendole a scaricare il file.

La seconda catena di infezione, invece, passa da un più classico server web controllato dagli hacker che, per prima cosa, verifica la lingua impostata nel browser usato dalla vittima per accedere a Internet. Se la lingua è l’italiano, allora il server rinvia l’utente ad un file PDF ospitato su OneDrive. Anche in questo caso il tutto sembra assolutamente credibile.

Un dettaglio particolare e interessante, che i ricercatori hanno scoperto analizzando il codice di SambaSpy, è che nonostante questo malware punti esplicitamente agli utenti italiani in realtà sembrerebbe scritto da hacker brasiliani (e da qui il riferimento alla samba).

Parte delle annotazioni del codice, infatti, sono scritte in portoghese brasiliano. Potrebbe trattarsi, quindi, di un virus su commissione, fatto da hacker brasiliani per conto di “clienti” italiani.

Una volta scaricato il PDF della fattura, nell’uno o nell’altro modo, inizia la vera e propria infezione che porta all’ingresso di SambaSpy nel computer. E, di conseguenza, porta anche ad avere un sacco di problemi.

Cosa può fare SambaSpy

SambaSpy è un “RAT“, cioè un “Remote Access Trojan” (trojan ad accesso remoto). I malware di questo tipo possono essere controllati dagli hacker da remoto, tramite Internet, e possono essere usati per spiare i computer infetti.

Il RAT SambaSpy, in particolare, è in grado di spiare a fondo il PC della vittima, perché può eseguire un gran numero di azioni su di essa, senza che l’utente si accorga di nulla.

SambaSpy può accedere ai file del computer, controllare la webcam (e registrare video), registrare i tasti premuti dall’utente e copiare il contenuto degli appunti, gestire il desktop da remoto, rubare le password dai browser, scaricare altri file sul PC ed eseguire altro codice all’avvio del computer.

Potendo fare tutte queste cose, SambaSpy è pericolsissimo: può ad esempio rubare le password dei conti correnti online e consegnarle agli hacker, che le useranno per eseguire bonifici su conti esteri intestati a loro.

Come difendersi da SambaSpy

SambaSpy è pericoloso perché la campagna per diffonderlo è ben studiata e ben eseguita. Ma in fin dei conti siamo di fronte sempre alla stessa fonte di infezione: un file scaricato da una fonte solo apparentemente attendibile.

La cautela, quindi, è sempre il miglior alleato per difendersi anche da questo malware. Usare un buon antivirus, e tenerlo costantemente aggiornato, è un passo in più che possiamo fare sulla strada che porta alla cyber sicurezza.