Una campagna di questo tipo risulta insolita. Ciò soprattutto per il suo essere specificatamente indirizzata agli utenti in Italia. Come funziona questo malware? SambaSpy si diffonde tra gli utenti tramite delle e-mail malevole. Quest’ultime sembrano essere state inviate da una legittima azienda immobiliare presente nel nostro Paese. All’interno del testo è disponibile un link che, secondo quanto viene detto, dovrebbe permettere agli utenti di visionare una fattura
. In realtà, chi clicca su quest’ultimo viene reindirizzato verso un file JAR infetto.C’è anche una seconda catena di infezione. Anche quest’ultima ha inizio con un’e-mail. Gli utenti ricevono un’email da un indirizzo tedesco, ma con scritte in italiano. Le vittime che soddisfano il controllo della lingua vengono reindirizzato ad un link OneDrive malevolo. Quest’ultimo, infatti, porta direttamente al dropper di SamSpy.
Ciò offre al malware la possibilità di installarsi sul dispositivo colpito. SambaSky è scritto in Java e offuscato con il protettore Zelix KlassMaster. In questo modo il malware può accedere ai file presenti sul dispositivo e scaricarne di nuovi. Inoltre, può controllare la webcam, catturare schermate e rubare informazioni sensibili. Come, ad esempio, le credenziali del browser. Dopo l’installazione SambaSpy permette agli hacker di controllare quasi totalmente il dispositivo.
È importante sottolineare che, se il sistema utilizzato, come Chrome, Edge e Firefox, non sono impostati sulla lingua italiana, il malware viene “fermato” e l’infezione si blocca.