Kaspersky mengidentifikasi dua rantai infeksi yang sedikit berbeda yang digunakan dalam kampanye tersebut. Salah satu metode infeksi yang sangat rumit dimulai dengan email phishing, yang tampaknya berasal dari perusahaan real estat Italia yang sah. Email tersebut meminta pengguna untuk melihat faktur dengan mengeklik tautan yang disematkan. Tautan ini mengarahkan pengguna ke layanan cloud Italia yang sah yang digunakan untuk pengelolaan faktur.
Namun, pengguna alih-alih diarahkan ke server web berbahaya, tempat malware memvalidasi pengaturan browser dan bahasa. Jika pengguna menjalankan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka diarahkan ke URL OneDrive berbahaya yang berisi PDF tersematkan malware. Ini memulai pengunduhan dropper atau downloader, yang keduanya akhirnya mengirimkan SambaSpy RAT.
SambaSpy adalah RAT berfitur lengkap yang ditulis dalam Java dan disamarkan menggunakan Zelix KlassMaster. Malware canggih ini dapat melakukan berbagai aktivitas berbahaya
Kemampuan Malware SambaSpy RAT
⦁ Manajemen sistem file dan proses
⦁ Kontrol webcam
⦁ Pencatatan penekanan tombol (Keystroke logging) dan manipulasi clipboard
⦁ Manajemen desktop jarak jauh
⦁ Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera
⦁ Pengunggahan dan pengunduhan file
⦁ Kemampuan untuk memuat plugin tambahan saat runtime
⦁ Mekanisme pemuatan plugin SambaSpy dan penggunaan pustaka seperti JNativeHook menunjukkan tingkat kecanggihan yang digunakan oleh para penyerang.
