Investigadores de ciberseguridad han advertido sobre una versión para Windows de un malware de limpieza que se observó anteriormente apuntando a sistemas Linux en ataques cibernéticos dirigidos a Israel.
Apodado Limpiador BiBi-Windows Por BlackBerry, el limpiador es la contraparte de Windows de BiBi-Linux Wiper, que ha sido utilizado por un grupo hacktivista pro-Hamás a raíz de la guerra entre Israel y Hamás el mes pasado.
«La variante de Windows […] confirma que los actores de amenazas que crearon el limpiador continúan desarrollando el malware e indica una expansión del ataque para apuntar a las máquinas de los usuarios finales y a los servidores de aplicaciones», dijo la compañía canadiense. dicho Viernes.
La empresa eslovaca de ciberseguridad es seguimiento el actor detrás del limpiador bajo el nombre BiBiGun, señalando que la variante de Windows (bibi.exe) está diseñada para sobrescribir datos en el directorio C:Users de forma recursiva con datos basura y agrega .BiBi al nombre del archivo.
Se dice que el artefacto BiBi-Windows Wiper se compiló el 21 de octubre de 2023, dos semanas después del inicio de la guerra. Actualmente se desconoce el método exacto mediante el cual se distribuye.
Además de dañar todos los archivos, excepto aquellos con extensiones .exe, .dll y .sys, el limpiador elimina instantáneas del sistema, impidiendo efectivamente que las víctimas recuperen sus archivos.
Otra similitud notable con su variante de Linux es su capacidad de subprocesos múltiples.
«Para lograr la destrucción más rápida posible, el malware ejecuta 12 subprocesos con ocho núcleos de procesador», dijo Dmitry Bestuzhev, director senior de inteligencia de amenazas cibernéticas de BlackBerry. dicho.
No está claro de inmediato si el limpiador se ha utilizado en ataques del mundo real y, de ser así, quiénes son los objetivos.
El desarrollo llega como Security Joes, que documentó por primera vez BiBi-Linux Wiper, dicho El malware es parte de una «campaña más amplia dirigida a empresas israelíes con la intención deliberada de interrumpir sus operaciones diarias mediante la destrucción de datos».
La firma de ciberseguridad dijo que identificó superposiciones tácticas entre el grupo hacktivista, que se hace llamar Karma, y otro actor con motivos geopolíticos cuyo nombre en código es Moses Staff (también conocido como Cobalt Sapling), que se sospecha que es de origen iraní.
«Aunque la campaña se ha centrado principalmente en los sectores gubernamentales y de TI de Israel hasta este momento, algunos de los grupos participantes, como Moses Staff, tienen un historial de atacar simultáneamente organizaciones en varios sectores comerciales y ubicaciones geográficas», dijo Security Joes.