Nueva ola de ataques cibernéticos apunta a Palestina con malware y carnada política

New Wave of Cyber Attacks Target Palestine with Political Bait and Malware Noticias

Los investigadores de ciberseguridad han puesto de relieve una nueva ola de ataques cibernéticos ofensivos contra activistas y entidades palestinas a partir de octubre de 2021 utilizando correos electrónicos de phishing con temas políticos y documentos señuelo.

Las intrusiones son parte de lo que Cisco Talos llama una campaña de espionaje y robo de información de larga data emprendida por el Grupo de hackers Arid Viper utilizando un implante basado en Delphi llamado Micropsia que se remonta a junio 2017.

El actor de amenazas ocupaciones, también rastreados bajo los apodos Desert Falcon y APT-C-23, se documentaron por primera vez en febrero 2015 por Kasperksy y posteriormente en 2017, cuando Qihoo 360 reveló detalles de multiplataforma puertas traseras desarrolladas por el grupo para atacar a las instituciones palestinas.

La compañía rusa de ciberseguridad calificó a Arid Viper como el «primer grupo APT exclusivamente árabe».

Luego, en abril de 2021, Meta (anteriormente Facebook), que señaló las afiliaciones del grupo al brazo cibernético de Hamás, dijo que tomó medidas para expulsar al adversario de su plataforma para distribuir malware móvil contra personas asociadas con grupos pro-Fatah, organizaciones gubernamentales palestinas, personal militar y de seguridad y grupos de estudiantes dentro de Palestina.

Documento señuelo que contiene texto sobre la reunificación palestina

La gran cantidad de nuevas actividades se basa en las mismas tácticas y señuelos de documentos utilizados por el grupo en 2017 y 2019, lo que sugiere un «cierto nivel de éxito» a pesar de la falta de cambios en sus herramientas. Los archivos señuelo más recientes hacen referencia a temas de reunificación palestina y desarrollo sostenible en el territorio que, cuando se abren, conducen a la instalación de Micropsia en máquinas comprometidas.

La puerta trasera está diseñada para brindar a los operadores un rango inusual de control sobre los dispositivos infectados, incluida la capacidad de recopilar información confidencial y ejecutar comandos transmitidos desde un servidor remoto, como capturar capturas de pantalla, registrar el registro de actividad actual y descargar cargas útiles adicionales.

«Arid Viper es un excelente ejemplo de grupos que no son muy avanzados tecnológicamente, sin embargo, con motivaciones específicas, se vuelven más peligrosos a medida que evolucionan con el tiempo y prueban sus herramientas y procedimientos en sus objetivos», dijeron los investigadores Asheer Malhotra y Vitor Ventura. .

«Estos [remote access trojans] se puede utilizar para establecer un acceso a largo plazo a los entornos de las víctimas y, además, implementar más malware destinado al espionaje y al robo de información y credenciales».

David
Rate author
Hackarizona