Medio Oriente y África del Norte se han convertido en el objetivo de una nueva campaña que ofrece una versión modificada de un malware conocido llamado Asíncrata desde septiembre de 2024.
“La campaña, que aprovecha las redes sociales para distribuir malware, está vinculada al clima geopolítico actual de la región”, los investigadores de tecnologías positivas Klimentiy Galkin y Stanislav Pyzhov dicho En un análisis publicado la semana pasada. “Los atacantes alojan malware en cuentas legítimas de intercambio de archivos en línea o canales de telegrama configurados especialmente para este propósito”.
Se estima que la campaña reclamó aproximadamente 900 víctimas desde el otoño de 2024, agregó la compañía de ciberseguridad rusa, lo que indica su naturaleza generalizada. La mayoría de las víctimas se encuentran en Libia, Arabia Saudita, Egipto, Turquía, Emiratos Árabes Unidos, Qatar y Túnez.
La actividad, atribuida a un actor de amenaza denominado Desierto Dexterfue descubierto en febrero de 2025. Involucra principalmente a crear cuentas temporales y canales de noticias en Facebook. Estas cuentas se utilizan para publicar anuncios que contienen enlaces a un servicio de intercambio de archivos o canal de telegrama.
Los enlaces, a su vez, redirigen a los usuarios a una versión del malware Asyncrat que se ha alterado para incluir un keylogger fuera de línea; buscar 16 extensiones y aplicaciones de billetera de criptomonedas diferentes; y comunicarse con un bot de telegrama.
La cadena Kill comienza con un archivo RAR que incluye un script por lotes o un archivo JavaScript, que se programan para ejecutar un script PowerShell que es responsable de desencadenar la segunda etapa del ataque.
Específicamente, termina los procesos asociados con varios servicios .NET que podrían evitar que el malware comience, elimine los archivos con las extensiones BAT, PS1 y VBS de “C: ProgramData WindowShost” y “C: Usuarios Public” y crea un archivo nuevo VBS en C: ProgramData WindowShost y BAT y PS1 en C: Useros Public Public.
Luego, el script establece la persistencia en el sistema, reúne y exfila la información del sistema a un bot de telegrama, toma una captura de pantalla y, en última instancia, lanza la carga útil de Asyncrat al inyectarla en el ejecutable “aspnet_compiler.exe”.
Actualmente no se sabe quién está detrás de la campaña, aunque los comentarios del idioma árabe en el archivo JavaScript aluden a su posible origen.
Un análisis posterior de los mensajes enviados al Bot de Telegram ha revelado capturas de pantalla del escritorio del atacante llamado “Dextermsi”, con el script de PowerShell, así como una herramienta llamada Rata de enlace de luminosidad. También está presente en Telegram Bot hay un enlace a un canal de telegrama llamado “hábilmente“Sugeriendo que el actor de amenaza podría ser de Libia. El canal fue creado el 5 de octubre de 2024.
“La mayoría de las víctimas son usuarios comunes, incluidos los empleados en los siguientes sectores: producción de petróleo, construcción, tecnología de la información, [and] Agricultura “, dijeron los investigadores.
“Las herramientas utilizadas por Desert Dexter no son particularmente sofisticadas. Sin embargo, la combinación de anuncios de Facebook con servicios legítimos y referencias a la situación geopolítica ha llevado a la infección de numerosos dispositivos”.
El desarrollo se produce como Qianxin reveló Detalles de una campaña de phishing de lanza denominado Elephant Sea elefante que se ha encontrado dirigido a instituciones de investigación científica en China con el objetivo de entregar una puerta trasera capaz de cosechar información confidencial relacionada con las ciencias y las tecnologías oceánicas.
La actividad se ha atribuido a un clúster llamado UTG-Q-011, que, según dijo, es un subconjunto dentro de otro colectivo adversario llamado CNC Group que comparte superposiciones tácticas con Patchwork, un actor de amenaza sospechoso ser de la India.
About the Author
