Negli ultimi mesi, gli utenti italiani sono stati il bersaglio di una nuova e sofisticata campagna malware chiamata SambaSpy. Scoperto dai ricercatori della società di cybersecurity Kaspersky, il malware punta a prendere il controllo delle webcam, rubare password e violare computer da remoto. Una peculiarità di questo attacco è che colpisce gli utenti di un solo Stato, una scelta insolita nel panorama delle minacce informatiche globali.
SambaSpy, il malware mirato all’Italia
La campagna malware SambaSpy è stata avviata a maggio di quest’anno e, secondo Kaspersky, non mostra segni di rallentamento. Come già anticipato, la particolarità di questa minaccia risiede nel suo target ristretto: gli utenti italiani. Questo dettaglio ha sorpreso gli esperti, che generalmente vedono campagne malware più ampie, rivolte a un pubblico globale.
Giampaolo Dedola, Lead Cybersecurity Researcher di Kaspersky GReAT, ha commentato all’ANSA:
“Siamo stati sorpresi dal target ristretto di questo attacco. Di solito i criminali informatici mirano a infettare il maggior numero di utenti possibile, ma la catena di infezione di SambaSpy include controlli specifici per garantire che vengano colpiti solo gli utenti italiani”.
Si tratta di un comportamento raro, che rende la campagna particolarmente pericolosa per il pubblico italiano.
Le modalità di infezione
Kaspersky ha scoperto due diverse strategie di infezione utilizzate dagli autori del malware. La prima è un’email di phishing, apparentemente inviata da un’agenzia immobiliare italiana realmente esistente. Giocando sulla fiducia delle persone per le comunicazioni aziendali legittime, l’email invita l’utente a cliccare su un link per visualizzare una fattura: proprio quest’azione innesca il download del virus.
Un’altra modalità di attacco consiste nel reindirizzare gli utenti a un server web dannoso, che verifica le impostazioni del browser e della lingua. Se la vittima utilizza un browser in italiano, come Edge, Firefox o Chrome, viene invitata a scaricare un file PDF che, apparentemente innocuo, in realtà contiene il malware.
Possibili legami con il Brasile
Sebbene SambaSpy sembri rivolto esclusivamente agli utenti italiani, i ricercatori di Kaspersky hanno individuato legami con il Brasile. Analizzando il codice del malware, hanno notato che alcuni commenti e messaggi di errore sono scritti in portoghese brasiliano. Questo dettaglio suggerisce che l’origine della minaccia potrebbe trovarsi in Sudamerica, sollevando ulteriori interrogativi sulla natura e le intenzioni degli attori coinvolti.
Questa scoperta complica ulteriormente il quadro, dimostrando come le campagne malware possano avere origini globali, ma colpire obiettivi locali con precisione chirurgica. Gli esperti consigliano di prestare massima attenzione alle email sospette e di aggiornare regolarmente i sistemi di sicurezza.
Come fronteggiare SambaSpy
In merito a questo malware, la stessa ACN (Agenzia per la cybersicurezza nazionale) ha stilato alcuni consigli affinché gli utenti e le organizzazioni possano così far fronte a questa tipologia di attacchi:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing/malspam diffidando da comunicazioni inattese;
- non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
- evitare di aprire file eseguibili (lnk, exe, bat, js, vbs, jar, ecc.) o documenti contenenti macro se non si è certi della loro liceità.
