Autores
Introducción
En mayo de 2024 detectamos una campaña dirigida exclusivamente a víctimas en Italia. Esto nos sorprendió, ya que los ciberdelincuentes suelen apuntar a un público más amplio a fin de maximizar sus ganancias. Por ejemplo, determinado tipo de malware puede estar dirigido a usuarios de Francia y España, con correos electrónicos de phishing escritos en francés y español, respectivamente. Sin embargo, dicha campaña no cuenta con controles específicos en el código del malware para garantizar que sólo se ejecute en Francia y España. Ahora bien, esta campaña se diferencia porque en las diferentes etapas de la cadena de infección se aplican controles para garantizar que sólo llegue a los usuarios italianos. Por lo tanto, al investigarla más a fondo descubrimos que los atacantes introducían como carga útil final un nuevo RAT, al que denominamos SambaSpy.
Cadena de infección
Al inicio de nuestra investigación descubrimos dos cadenas de infección casi idénticas, como podemos ver en estas dos figuras:
