Nova backdoor visa o norte da África com ciberespionagem

Da Redação
14/06/2023

Uma nova backdoor personalizada chamada Stealth Soldier foi implantada como parte de um conjunto de ataques de espionagem altamente direcionados no norte da África. “O malware Stealth Soldier é uma backdoor não documentada que opera principalmente funções de vigilância, como exfiltração de arquivos, gravação de tela e microfone, registro de pressionamento de tecla e roubo de informações do navegador”, disse a empresa de segurança cibernética Check Point em um relatório técnico.

A operação em andamento é caracterizada pelo uso de servidores de comando e controle (C&C) que imitam sites pertencentes ao Ministério das Relações Exteriores da Líbia. Os primeiros artefatos associados à campanha datam de outubro de 2022.

Os ataques começam com alvos em potencial baixando binários de downloader falsos que são entregues por meio de ataques de engenharia social e agem como um canal para recuperar o Stealth Soldier, ao mesmo tempo em que exibem um arquivo PDF vazio de isca. O implante modular personalizado, que se acredita ser usado com moderação, permite recursos de vigilância reunindo listas de diretórios e credenciais do navegador, registrando pressionamentos de tecla, gravando o áudio do microfone, capturando capturas de tela, carregando arquivos e executando comandos do PowerShell.

“O malware usa diferentes tipos de comandos: alguns são plug-ins baixados do C&C e outros são módulos dentro do malware”, disse a Check Point, acrescentando que a descoberta de três versões do Stealth Soldier indica que ele está sendo mantido ativamente por seus operadores.

Veja isso
Backdoor em placas-mãe da Gigabyte põe em risco empresas
Técnica de polimorfismo é usada para instalar backdoor

Alguns dos componentes não estão mais disponíveis para recuperação, mas a captura de tela e os plug-ins de roubo de credenciais do navegador foram inspirados por projetos de código aberto disponíveis no GitHub.

Além disso, a infraestrutura do Stealth Soldier exibe sobreposições com a infraestrutura associada a outra campanha de phishing chamada Eye on the Nile, que teve como alvo jornalistas egípcios e ativistas de direitos humanos em 2019.O desenvolvimento sinaliza o “primeiro reaparecimento possível desse ator de ameaça” desde então, sugerindo que o grupo é voltado para a vigilância contra alvos egípcios e líbios. “Dada a modularidade do malware e o uso de vários estágios de infecção, é provável que os invasores continuem a desenvolver suas táticas e técnicas e implementem novas versões desse malware em um futuro próximo”, disse a Check Point.

Compartilhar: