{"id":27716,"date":"2024-09-26T17:05:14","date_gmt":"2024-09-26T23:05:14","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27716"},"modified":"2024-09-26T17:05:14","modified_gmt":"2024-09-26T23:05:14","slug":"new-exotic-rat-sambaspy","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/27716\/","title":{"rendered":"SambaSpy: un nuevo troyano de acceso remoto"},"content":{"rendered":"<p>Hoy vamos a hablar de ratas. No nos referimos a los roedores de cola larga, sino a los digitales: troyanos de acceso remoto o <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-access-trojan-rat\/\" target=\"_blank\" rel=\"noopener\">RAT<\/a>. Son troyanos que los atacantes utilizan para obtener acceso remoto a un dispositivo. Por lo general, estos RAT pueden instalar y desinstalar programas, controlar el portapapeles, y registrar pulsaciones de teclas.<\/p>\n<p>En mayo de 2024, una nueva raza de RAT, SambaSpy, cay\u00f3 en nuestra trampa para ratas. Para saber c\u00f3mo este malware infecta los dispositivos de sus v\u00edctimas y qu\u00e9 hace una vez que est\u00e1 dentro, sigue leyendo.<\/p>\n<h2>\u00bfQu\u00e9 es SambaSpy?<\/h2>\n<p>SambaSpy es un troyano RAT repleto de funciones que se <a href=\"https:\/\/es.wikipedia.org\/wiki\/Ofuscaci%C3%B3n\" target=\"_blank\" rel=\"noopener nofollow\">oculta<\/a> a trav\u00e9s de <a href=\"https:\/\/www.zelix.com\/\" target=\"_blank\" rel=\"noopener nofollow\">Zelix KlassMaster<\/a>, lo que lo hace mucho m\u00e1s dif\u00edcil de detectar y analizar. Sin embargo, nuestro equipo estuvo a la altura del desaf\u00edo y descubri\u00f3 que este nuevo RAT es capaz de lo siguiente:<\/p>\n<ul>\n<li>Gestionar el sistema de archivos y procesos<\/li>\n<li>Descargar y cargar archivos<\/li>\n<li>Controlar la c\u00e1mara web<\/li>\n<li>Realizar capturas de pantalla<\/li>\n<li>Robar contrase\u00f1as<\/li>\n<li>Cargar complementos adicionales<\/li>\n<li>Controlar el escritorio de forma remota<\/li>\n<li>Registrar las pulsaciones de teclado<\/li>\n<li>Gestionar el portapapeles<\/li>\n<\/ul>\n<p>\u00bfEst\u00e1s impresionado? Parece que SambaSpy puede hacerlo todo: es la herramienta perfecta para un villano de James Bond del siglo XXI. Pero incluso esta extensa lista no es exhaustiva: lee m\u00e1s sobre las capacidades de este RAT en la <a href=\"https:\/\/securelist.lat\/sambaspy-rat-targets-italian-users\/99131\/\" target=\"_blank\" rel=\"noopener\">versi\u00f3n completa de nuestro estudio<\/a>.<\/p>\n<p>La campa\u00f1a maliciosa que descubrimos estaba dirigida exclusivamente a v\u00edctimas en Italia. Puede que te sorprendas, pero en realidad es una buena noticia (para todos, excepto para los italianos). Por lo general, los actores de amenazas intentan tender una red amplia para maximizar sus ganancias, pero estos atacantes se centran en un solo pa\u00eds. Entonces, \u00bfpor qu\u00e9 es eso algo bueno? Es probable que los atacantes est\u00e9n realizando pruebas con los usuarios italianos antes de expandir sus operaciones a otros pa\u00edses, y nosotros ya estamos un paso adelante porque estamos familiarizados con SambaSpy y sabemos c\u00f3mo contrarrestarlo. Lo que nuestros usuarios de todo el mundo necesitan hacer es asegurarse de tener una <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad fiable<\/a>\u00a0y seguir leyendo sabiendo que podemos evitarlo.<\/p>\n<h2>C\u00f3mo los atacantes propagan SambaSpy<\/h2>\n<p>En resumen, como muchos otros RAT, por correo electr\u00f3nico. Los atacantes utilizaron dos cadenas de infecci\u00f3n principales, ambas relacionadas con correos electr\u00f3nicos de phishing disfrazados de comunicaciones de una agencia inmobiliaria. El elemento clave del correo electr\u00f3nico es una CTA para consultar una factura haciendo clic en un hiperv\u00ednculo.<\/p>\n<div id=\"attachment_27718\" style=\"width: 854px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/09\/26170213\/new-exotic-rat-sambaspy-01.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27718\" class=\"wp-image-27718 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2024\/09\/26170213\/new-exotic-rat-sambaspy-01.png\" alt=\"A primera vista, el correo electr\u00f3nico parece leg\u00edtimo, excepto que se env\u00eda desde una direcci\u00f3n de correo electr\u00f3nico alemana, pero est\u00e1 redactado en italiano.\" width=\"844\" height=\"440\"><\/a><p id=\"caption-attachment-27718\" class=\"wp-caption-text\">A primera vista, el correo electr\u00f3nico parece leg\u00edtimo, excepto que se env\u00eda desde una direcci\u00f3n de correo electr\u00f3nico alemana, pero est\u00e1 redactado en italiano.<\/p><\/div>\n<p>Al hacer clic en el enlace, los usuarios son llevados a un sitio web malicioso que verifica el idioma del sistema y el navegador utilizado. Si el sistema operativo de la v\u00edctima potencial est\u00e1 configurado en italiano y abre el enlace en Edge, Firefox o Chrome, recibe un archivo PDF malicioso que infecta su dispositivo con un instalador de malware o un downloader. La diferencia entre ambos es m\u00ednima: el instalador de malware instala el troyano de inmediato, mientras que el downloader descarga primero los componentes necesarios de los servidores de los atacantes.<\/p>\n<p>Antes de comenzar, tanto el cargador como el instalador de malware comprueban que el sistema no est\u00e9 ejecut\u00e1ndose en una m\u00e1quina virtual y, lo m\u00e1s importante, que el idioma del sistema operativo est\u00e9 configurado en italiano. Si se cumplen ambas condiciones, se infecta el dispositivo.<\/p>\n<p>Los usuarios que no cumplen con estos criterios son redirigidos al sitio web de <a href=\"https:\/\/www.fattureincloud.it\/\" target=\"_blank\" rel=\"noopener nofollow\">FattureInCloud<\/a>, una soluci\u00f3n italiana basada en la nube para almacenar y gestionar facturas digitales. Este ingenioso disfraz permite a los atacantes apuntar solo a un p\u00fablico espec\u00edfico: todos los dem\u00e1s son redirigidos a un sitio web leg\u00edtimo.<\/p>\n<h2>\u00bfQui\u00e9n est\u00e1 detr\u00e1s de SambaSpy?<\/h2>\n<p>Todav\u00eda tenemos que determinar qu\u00e9 grupo est\u00e1 detr\u00e1s de esta sofisticada distribuci\u00f3n de SambaSpy. Sin embargo, evidencia circunstancial nos ha demostrado que los atacantes hablan portugu\u00e9s de Brasil. Tambi\u00e9n sabemos que ya est\u00e1n expandiendo sus operaciones a Espa\u00f1a y Brasil, como lo demuestran los dominios maliciosos utilizados por el mismo grupo en otras campa\u00f1as detectadas. Por cierto, estas campa\u00f1as ya no incluyen la verificaci\u00f3n de idioma.<\/p>\n<h2>\u00bfC\u00f3mo puedes protegerte de SambaSpy?<\/h2>\n<p>La conclusi\u00f3n clave de esta historia es el m\u00e9todo de infecci\u00f3n, que sugiere que cualquier persona, en cualquier lugar y que habla cualquier idioma, podr\u00eda ser el objetivo de la pr\u00f3xima campa\u00f1a. Para los atacantes, en realidad no importa a qui\u00e9n atacan, ni tampoco son importantes los detalles del cebo de phishing. Hoy puede ser una factura de una agencia inmobiliaria; ma\u00f1ana, una notificaci\u00f3n de impuestos; y pasado ma\u00f1ana, pasajes a\u00e9reos o vales de viaje.<\/p>\n<p>A continuaci\u00f3n se ofrecen algunos consejos y recomendaciones para ayudarte a mantenerte a salvo de SambaSpy:<\/p>\n<ul>\n<li>Instala <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0antes de que tu dispositivo muestre <a href=\"https:\/\/latam.kaspersky.com\/blog\/symptoms-of-infection\/25490\/\" target=\"_blank\" rel=\"noopener\">signos de infecci\u00f3n<\/a>. Nuestra soluci\u00f3n detecta y neutraliza de forma fiable tanto SambaSpy como otro malware.<\/li>\n<li>Ten siempre cuidado con los correos electr\u00f3nicos de phishing. Antes de hacer clic en un enlace en tu bandeja de entrada, toma un momento para preguntarte: \u201c\u00bfPodr\u00eda tratarse de una estafa?\u201d<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Hemos descubierto un nuevo troyano que es muy selectivo con sus v\u00edctimas.<\/p>\n","protected":false},"author":2706,"featured_media":27717,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2737,2738],"tags":[5961,1869,31,2352,1254],"class_list":{"0":"post-27716","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-technology","9":"tag-boletines","10":"tag-correo-electronico","11":"tag-phishing","12":"tag-rat","13":"tag-spyware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/27716\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/new-exotic-rat-sambaspy\/28007\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/23276\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/12065\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/new-exotic-rat-sambaspy\/28164\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/new-exotic-rat-sambaspy\/30440\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/new-exotic-rat-sambaspy\/29201\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/new-exotic-rat-sambaspy\/38246\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/new-exotic-rat-sambaspy\/12828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/new-exotic-rat-sambaspy\/52179\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/new-exotic-rat-sambaspy\/22235\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/new-exotic-rat-sambaspy\/23002\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/new-exotic-rat-sambaspy\/31640\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/new-exotic-rat-sambaspy\/28285\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/new-exotic-rat-sambaspy\/34095\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/new-exotic-rat-sambaspy\/33751\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/rat\/","name":"RAT"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27716","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=27716"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27716\/revisions"}],"predecessor-version":[{"id":27719,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27716\/revisions\/27719"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/27717"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=27716"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=27716"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=27716"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}