Nova backdoor visa o norte da África com ciberespionagem

Uma série de ataques de espionagem altamente direcionados no norte da África foi ligada a uma backdoor modular, chamada Stealth Soldier

Uma nova backdoor personalizada chamada Stealth Soldier foi implantada como parte de um conjunto de ataques de espionagem altamente direcionados no norte da África. “O malware Stealth Soldier é uma backdoor não documentada que opera principalmente funções de vigilância, como exfiltração de arquivos, gravação de tela e microfone, registro de pressionamento de tecla e roubo de informações do navegador”, disse a empresa de segurança cibernética Check Point em um relatório técnico.

A operação em andamento é caracterizada pelo uso de servidores de comando e controle (C&C) que imitam sites pertencentes ao Ministério das Relações Exteriores da Líbia. Os primeiros artefatos associados à campanha datam de outubro de 2022.

Os ataques começam com alvos em potencial baixando binários de downloader falsos que são entregues por meio de ataques de engenharia social e agem como um canal para recuperar o Stealth Soldier, ao mesmo tempo em que exibem um arquivo PDF vazio de isca. O implante modular personalizado, que se acredita ser usado com moderação, permite recursos de vigilância reunindo listas de diretórios e credenciais do navegador, registrando pressionamentos de tecla, gravando o áudio do microfone, capturando capturas de tela, carregando arquivos e executando comandos do PowerShell.

“O malware usa diferentes tipos de comandos: alguns são plug-ins baixados do C&C e outros são módulos dentro do malware”, disse a Check Point, acrescentando que a descoberta de três versões do Stealth Soldier indica que ele está sendo mantido ativamente por seus operadores.

Alguns dos componentes não estão mais disponíveis para recuperação, mas a captura de tela e os plug-ins de roubo de credenciais do navegador foram inspirados por projetos de código aberto disponíveis no GitHub.

Além disso, a infraestrutura do Stealth Soldier exibe sobreposições com a infraestrutura associada a outra campanha de phishing chamada Eye on the Nile, que teve como alvo jornalistas egípcios e ativistas de direitos humanos em 2019.O desenvolvimento sinaliza o “primeiro reaparecimento possível desse ator de ameaça” desde então, sugerindo que o grupo é voltado para a vigilância contra alvos egípcios e líbios. “Dada a modularidade do malware e o uso de vários estágios de infecção, é provável que os invasores continuem a desenvolver suas táticas e técnicas e implementem novas versões desse malware em um futuro próximo”, disse a Check Point.

Fonte:
https://www.cisoadvisor.com.br/nova-backdoor-visa-o-norte-da-africa-com-ataques-de-espionagem/