Il Medio Oriente e il Nord Africa sono diventati l’obiettivo di una nuova campagna che offre una versione modificata di un malware noto chiamato Asyncrat Dal settembre 2024.
“La campagna, che sfrutta i social media per distribuire malware, è legata all’attuale clima geopolitico della regione”, i ricercatori di Constructive Applied sciences Klosiy Galkin e Stanislav Pyzhov disse In un’analisi pubblicata la scorsa settimana. “Gli aggressori ospitano malware in account di condivisione di file on-line legittimi o canali di telegrammi impostati appositamente a story scopo.”
Si stima che la campagna abbia rivendicato circa 900 vittime dall’autunno 2024, ha aggiunto la società di sicurezza informatica russa, indicando la sua natura diffusa. La maggior parte delle vittime si trova in Libia, Arabia Saudita, Egitto, Turchia, Emirate arabi Uniti, Qatar e Tunisia.
L’attività, attribuita a un attore di minaccia doppiato Desert Dexterè stato scoperto nel febbraio 2025. Implica principalmente la creazione di account e canali di notizie temporanei su Fb. Questi account vengono quindi utilizzati per pubblicare pubblicità contenenti collegamenti a un servizio di condivisione di file o canale Telegram.
I collegamenti, a loro volta, reindirizzano gli utenti a una versione del Asyncrat malware che è stato modificato per includere un keylogger offline; Cerca 16 various estensioni e applicazioni del portafoglio di criptovaluta; e comunicare con un bot telegramma.
La catena di uccisioni inizia con un archivio RAR che embrace uno script batch o un file JavaScript, che sono programmati per eseguire uno script PowerShell che è responsabile di innescare la seconda fase dell’attacco.
In particolare, termina i processi associati a vari servizi .NET che potrebbero impedire l’avvio del malware, elimina le cartelle BAT, PS1 e VBS da “C: ProgramData WindowShost” e “C: Customers Public” e crea un nuovo file VBS in C: ProgramData WindowsShost e file BAT e PS1 in C: Customers.
Lo script stabilisce quindi la persistenza sul sistema, raccoglie ed esfiltra le informazioni del sistema in un bot di telegramma, prende uno screenshot e alla high-quality lancia il payload Asyncrat iniettandolo nell’esecutibile “Aspnet_compiler.exe”.
Al momento non è noto chi è dietro la campagna, sebbene i commenti in lingua araba nel file JavaScript allugano alla loro possibile origine.
Ulteriori analisi dei messaggi inviati al Bot Telegram hanno rivelato screenshot del desktop dell’attaccante chiamato “Dextermsi”, con la sceneggiatura di PowerShell e uno strumento chiamato Ratto di collegamento di luminosità. Presente anche nel Bot Telegram è un collegamento a un canale Telegram chiamato “in modo dexterly“suggerendo che l’attore della minaccia potrebbe essere dalla Libia. Il canale è stato creato il 5 ottobre 2024.
“La maggior parte delle vittime sono utenti ordinari, compresi i dipendenti nei seguenti settori: produzione di petrolio, costruzione, tecnologia dell’informazione e e) agricoltura”, hanno affermato i ricercatori.
“Gli strumenti utilizzati da Desert Dexter non sono particolarmente sofisticati. Tuttavia, la combinazione di annunci di Fb con servizi legittimi e riferimenti alla situazione geopolitica ha portato all’infezione da numerosi dispositivi.”
Lo sviluppo arriva come qianxin rivelato Dettagli di una campagna di phishing di lancia soprannominata Elefante Sea Elephant che è stata trovata mirata agli istituti di ricerca scientifica in Cina con l’obiettivo di fornire una backdoor in grado di raccogliere informazioni sensibili relative alle scienze oceaniche e alle tecnologie.
L’attività è stata attribuita a un cluster chiamato UTG-Q-011, che, ha detto, è un sottoinsieme all’interno di un altro collettivo contradditto Patchworkun attore di minaccia sospettato essere dall’India.
