2024 年 5 月，卡巴斯基实验室发现了一个专门针对意大利用户的复杂恶意软件活动。该活动对于网络犯罪活动来说并不常见，它只针对意大利受害者，部署了一种名为 SambaSpy 的新远程访问木马 （RAT）。使该活动脱颖而出的是攻击者确保其恶意软件仅感染意大利语用户的精确性，正如卡巴斯基的最新报告所详述的那样。

虽然许多恶意软件活动针对广泛的地理区域，但该活动专门设计用于仅感染意大利用户。在感染链的多个阶段，实施了检查以验证系统语言是否设置为意大利语。如果目标不符合这些标准，恶意软件就会简单地停止执行，表现出高度的定制性。

SambaSpy 是通过一封似乎来自合法意大利房地产公司的恶意电子邮件发送的，该电子邮件以完美的意大利语编写。这些电子邮件通常包含一个查看发票的链接，将用户重定向到意大利企业使用的合法文档共享平台。然而，在这个看起来合法的外表下，攻击者嵌入了一个恶意链接，该链接指向 JAR 文件，这是 SambaSpy 感染的第一阶段。

SambaSpy 感染链 2 |图片来源： Kaspersky Labs

文章原文链接:https://www.anquanke.com/post/id/300259