{"id":31640,"date":"2024-09-23T15:01:27","date_gmt":"2024-09-23T13:01:27","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31640"},"modified":"2024-09-23T15:01:27","modified_gmt":"2024-09-23T13:01:27","slug":"new-exotic-rat-sambaspy","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/new-exotic-rat-sambaspy\/31640\/","title":{"rendered":"SambaSpy: ein neuer Remote-Access-Trojaner"},"content":{"rendered":"<p>Lass uns heute \u00fcber Ratten sprechen. Allerdings geht es dabei nicht um den englischen Begriff f\u00fcr langschw\u00e4nzige Nagetiere, sondern um solche digitaler Art\u00a0\u2013 Remote Access Trojans oder <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-access-trojan-rat\/\" target=\"_blank\" rel=\"noopener\">RATs<\/a>. Es handelt sich um Trojaner, die Angreifer nutzen, um Fernzugriff auf ein Ger\u00e4t zu erhalten. Normalerweise k\u00f6nnen diese RATs Programme installieren und deinstallieren, die Zwischenablage steuern und Tastatureingaben protokollieren.<\/p>\n<p>Im Mai 2024 ist eine neue RAT-Rasse, SambaSpy, in unsere Rattenfalle gegangen. Lies weiter, um zu erfahren, wie diese Schadsoftware die Ger\u00e4te ihrer Opfer infiziert und was sie anrichtet, sobald sie sich im System befindet.<\/p>\n<h2>Was SambaSpy ist<\/h2>\n<p>SambaSpy ist ein RAT-Trojaner mit vielen Funktionen, der mit <a href=\"https:\/\/www.zelix.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Zelix KlassMaster<\/a> <a href=\"https:\/\/de.wikipedia.org\/wiki\/Obfuskation_(Software)\" target=\"_blank\" rel=\"noopener nofollow\">verschleiert<\/a> wird, was seine Erkennung und Analyse erheblich erschwert. Unser Team war jedoch der Herausforderung gewachsen und stellte fest, dass dieser neue RAT Folgendes kann:<\/p>\n<ul>\n<li>Verwalten des Dateisystems und der Prozesse<\/li>\n<li>Herunterladen und Hochladen von Dateien<\/li>\n<li>Steuerung der Webcam<\/li>\n<li>Aufnehmen von Screenshots<\/li>\n<li>Diebstahl von Passw\u00f6rtern<\/li>\n<li>Laden zus\u00e4tzlicher Plug-Ins<\/li>\n<li>Fernsteuerung des Desktops<\/li>\n<li>Mitschreiben von Tastatureingaben<\/li>\n<li>Verwalten der Zwischenablage<\/li>\n<\/ul>\n<p>Beeindruckt? Es scheint, dass SambaSpy alles kann und somit das perfekte Werkzeug f\u00fcr einen James-Bond-B\u00f6sewicht des 21. Jahrhunderts ist. Aber auch diese umfangreiche Liste ist nicht vollst\u00e4ndig: Erfahre mehr \u00fcber die F\u00e4higkeiten dieses RAT in <a href=\"https:\/\/securelist.com\/sambaspy-rat-targets-italian-users\/113851\/\" target=\"_blank\" rel=\"noopener\">unserer vollst\u00e4ndigen Studie<\/a>.<\/p>\n<p>Die sch\u00e4dliche Kampagne, die wir aufgedeckt haben, zielte ausschlie\u00dflich auf Opfer in Italien ab. Es wird dich \u00fcberraschen, aber das sind eigentlich gute Nachrichten (f\u00fcr alle au\u00dfer den Italienern). Bedrohungsakteure versuchen normalerweise, ein breites Netz auszuwerfen, um ihre Gewinne zu maximieren, diese Angreifer konzentrieren sich jedoch nur auf ein Land. Warum ist das also eine gute Sache? Wahrscheinlich testen die Angreifer zun\u00e4chst das Terrain bei italienischen Benutzern, bevor sie ihre Aktivit\u00e4ten auf andere L\u00e4nder ausweiten \u2013 und wir sind bereits einen Schritt voraus, da wir mit SambaSpy vertraut sind und wissen, wie wir den Trojaner bek\u00e4mpfen k\u00f6nnen. Alles, was unsere Benutzer weltweit tun m\u00fcssen, ist sicherzustellen, dass sie \u00fcber eine <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">zuverl\u00e4ssige Sicherheitsl\u00f6sung<\/a>\u00a0verf\u00fcgen, und dann k\u00f6nnen sie in dem Vertrauen weiterlesen, dass wir die Sache im Griff haben.<\/p>\n<h2>So verbreiten Angreifer SambaSpy<\/h2>\n<p>Kurz gesagt, genau wie viele andere RATs, per E-Mail. Die Angreifer nutzen zwei prim\u00e4re Infektionsketten, die beide Phishing-E-Mails beinhalteten, die als Mitteilungen eines Immobilienmaklers getarnt waren. Das zentrale Element der E-Mail ist ein Handlungsaufruf zum Pr\u00fcfen einer Rechnung durch Anklicken eines Hyperlinks.<\/p>\n<div id=\"attachment_31642\" style=\"width: 854px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2024\/09\/23145325\/new-exotic-rat-sambaspy-01.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-31642\" class=\"size-full wp-image-31642\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2024\/09\/23145325\/new-exotic-rat-sambaspy-01.png\" alt=\"Auf den ersten Blick scheint die E-Mail legitim zu sein\u00a0\u2013 au\u00dfer dass sie von einer deutschen E-Mail-Adresse gesendet wurde, aber auf Italienisch verfasst ist.\" width=\"844\" height=\"440\"><\/a><p id=\"caption-attachment-31642\" class=\"wp-caption-text\">Auf den ersten Blick scheint die E-Mail legitim zu sein\u00a0\u2013 au\u00dfer dass sie von einer deutschen E-Mail-Adresse gesendet wurde, aber auf Italienisch verfasst ist.<\/p><\/div>\n<p>[img new-exotic-rat-sambaspy-01]<\/p>\n<p>[Alt\/\u0422itle\/Caption] Auf den ersten Blick scheint die E-Mail legitim zu sein\u00a0\u2013 au\u00dfer dass sie von einer deutschen E-Mail-Adresse gesendet wurde, aber auf Italienisch verfasst ist.[\/ATC]<\/p>\n<p>Durch Anklicken des Links werden Benutzer auf eine sch\u00e4dliche Website weitergeleitet, die die Systemsprache und den verwendeten Browser \u00fcberpr\u00fcft. Wenn das Betriebssystem des potenziellen Opfers auf Italienisch eingestellt ist und sie den Link in Edge, Firefox oder Chrome \u00f6ffnen, erhalten sie eine sch\u00e4dliche PDF-Datei, die ihr Ger\u00e4t entweder mit einem Dropper oder einem Downloader infiziert. Der Unterschied zwischen beiden ist minimal: Der Dropper installiert den Trojaner sofort, w\u00e4hrend der Downloader zun\u00e4chst die notwendigen Komponenten von den Servern der Angreifer herunterl\u00e4dt.<\/p>\n<p>Vor dem Start vergewissern Loader bzw. Dropper, dass das System nicht in einer virtuellen Maschine ausgef\u00fchrt wird und\u00a0\u2013 vor allem\u00a0\u2013 dass die Betriebssystemsprache auf Italienisch eingestellt ist. Wenn beide Bedingungen erf\u00fcllt sind, ist das Ger\u00e4t infiziert.<\/p>\n<p>Benutzer, die diese Kriterien nicht erf\u00fcllen, werden auf die Website von <a href=\"https:\/\/www.fattureincloud.it\/\" target=\"_blank\" rel=\"noopener nofollow\">FattureInCloud<\/a> weitergeleitet, einer italienischen Cloud-basierten L\u00f6sung zum Speichern und Verwalten digitaler Rechnungen. Durch diese geschickte Tarnung k\u00f6nnen die Angreifer nur ein bestimmtes Publikum angreifen\u00a0\u2013 alle anderen werden auf eine legitime Website umgeleitet.<\/p>\n<h2>Wer steckt hinter SambaSpy?<\/h2>\n<p>Wir m\u00fcssen noch herausfinden, welche Gruppe hinter dieser hochentwickelten Verbreitung von SambaSpy steckt. Allerdings weisen Indizien darauf hin, dass die Angreifer brasilianisches Portugiesisch sprechen. Wir wissen au\u00dferdem, dass sie ihre Aktivit\u00e4ten bereits auf Spanien und Brasilien ausweiten\u00a0\u2013 wie die von der gleichen Gruppe in anderen erkannten Kampagnen verwendeten sch\u00e4dlichen Dom\u00e4nen belegen. Der Sprachencheck ist bei diesen Aktionen \u00fcbrigens nicht mehr enthalten.<\/p>\n<h2>So sch\u00fctzt du dich vor Cyberkriminalit\u00e4t<\/h2>\n<p>Die wichtigste Erkenntnis aus dieser Geschichte ist die Infektionsmethode. Sie l\u00e4sst darauf schlie\u00dfen, dass jeder, egal wo und egal welche Sprache, das Ziel der n\u00e4chsten Kampagne sein k\u00f6nnte. F\u00fcr die Angreifer spielt es keine gro\u00dfe Rolle, wen sie treffen, und auch die Einzelheiten des Phishing-K\u00f6ders sind nicht wichtig. Heute kann es sich um eine Rechnung vom Immobilienmakler handeln, morgen um einen Steuerbescheid und \u00fcbermorgen um Flugtickets oder Reisegutscheine.<\/p>\n<p><strong>Hier ein paar Tipps und Empfehlungen, die dir dabei helfen, dich vor SambaSpy zu sch\u00fctzen:<\/strong><\/p>\n<ul>\n<li>Installiere <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>, bevor dein Ger\u00e4t <a href=\"https:\/\/www.kaspersky.de\/blog\/symptoms-of-infection\/29459\/\" target=\"_blank\" rel=\"noopener\">Anzeichen einer Infektion<\/a> Unsere L\u00f6sung erkennt und neutralisiert sowohl SambaSpy als auch andere Malware zuverl\u00e4ssig.<\/li>\n<li>Sei stets auf der Hut vor Phishing-E-Mails. Bevor du auf einen Link in deinem Posteingang klickst, solltest du dich kurz fragen: \u201eK\u00f6nnte es sich hier um einen Betrug handeln?\u201c<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Wir haben einen neuen Trojaner entdeckt, der bei der Auswahl seiner Opfer sehr w\u00e4hlerisch ist.<\/p>\n","protected":false},"author":2706,"featured_media":31643,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2286,2287],"tags":[62,4177,53,1871,1072,257],"class_list":{"0":"post-31640","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-technology","9":"tag-e-mail","10":"tag-newsletter","11":"tag-phishing","12":"tag-rat","13":"tag-spyware","14":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/new-exotic-rat-sambaspy\/31640\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/new-exotic-rat-sambaspy\/28007\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/23276\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/12065\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-exotic-rat-sambaspy\/28164\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/27716\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-exotic-rat-sambaspy\/30440\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-exotic-rat-sambaspy\/29201\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-exotic-rat-sambaspy\/38246\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-exotic-rat-sambaspy\/12828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/52179\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-exotic-rat-sambaspy\/22235\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-exotic-rat-sambaspy\/23002\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/new-exotic-rat-sambaspy\/28285\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-exotic-rat-sambaspy\/34095\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-exotic-rat-sambaspy\/33751\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/trojaner\/","name":"Trojaner"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=31640"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31640\/revisions"}],"predecessor-version":[{"id":31646,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31640\/revisions\/31646"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/31643"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=31640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=31640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=31640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}