최신 보안 동향
피싱 이메일을 통해 배포되는 SambaSpy 악성코드
TACHYON & ISARC
2024. 9. 20. 15:46
보안 업체 Kaspersky가 최근 이탈리아 사용자를 표적으로 공격하는 SambaSpy 악성코드 캠페인에 대해 보고했다.
HTML 첨부 파일이나 감염 프로세스를 시작하는 내장된 링크가 포함된 피싱 이메일로부터 공격이 시작된다. 사용자가 내장된 링크를 클릭했을 때 웹 브라우저의 언어가 이탈리아어로 설정되어있는 경우에만 악성 웹 서버로 연결된다. 이때, 의도한 대상이 아닐 경우 FattureInCloud에 호스팅된 합법적인 청구서 페이지에 머물러있게 된다. 한편, 의도한 대상과 일치할 경우 호스팅된 PDF 문서로 이동하게 되고 사용자가 문서 보기로 표시되어있는 하이퍼링크를 클릭하면 다운로더가 실행된다. 다운로더는 사용자가 현재 VM 환경에서 실행 중인지 검사하고, 시스템 환경이 이탈리아어로 설정되어 있는지 최종적으로 확인 후 SambaSpy를 다운로드 및 실행한다.
Kaspersky는 SambaSpy가 파일 시스템 관리, 원격 데스크톱 관리 및 원격 셸 등의 공격을 수행한다고 언급했다.
사진 출처 : Kaspersky
출처
[1] Kaspersky (2024.09.18) – Exotic SambaSpy is now dancing with Italian users
https://securelist.com/sambaspy-rat-targets-italian-users/113851/