Se ha observado que un grupo hacktivista pro-Hamas utiliza un nuevo malware de limpieza basado en Linux denominado Limpiador BiBi-Linuxapuntando a entidades israelíes en medio de la actual guerra entre Israel y Hamas.
«Este malware es un ejecutable ELF x64, que carece de ofuscación o medidas de protección», Security Joes dicho en un nuevo informe publicado hoy. «Permite a los atacantes especificar carpetas de destino y potencialmente puede destruir un sistema operativo completo si se ejecuta con permisos de root».
Algunas de sus otras capacidades incluyen subprocesos múltiples corromper archivos simultáneamente para mejorar su velocidad y alcance, sobrescribiendo archivos, renombrándolos con una extensión que contenga la cadena codificada «BiBi» (en el formato «[RANDOM_NAME].BiBi[NUMBER]») y excluir ciertos tipos de archivos para que no se dañen.
«Si bien la cadena ‘bibi’ (en el nombre del archivo) puede parecer aleatoria, tiene un significado significativo cuando se mezcla con temas como la política en el Medio Oriente, ya que es un apodo común utilizado para el Primer Ministro israelí, Benjamín Netanyahu», añadió la empresa de ciberseguridad.
El malware destructivo, codificado en C/C++ y con un tamaño de archivo de 1,2 MB, permite al actor de la amenaza especificar carpetas de destino mediante parámetros de línea de comandos, optando de forma predeterminada por el directorio raíz («https://thehackernews.com/» ) si no se proporciona ninguna ruta. Sin embargo, realizar la acción en este nivel requiere permisos de root.
Otro aspecto notable de BiBi-Linux Wiper es el uso del comando nohup durante la ejecución para ejecutarlo sin obstáculos en segundo plano. Algunos de los tipos de archivos que no se sobrescriben son aquellos con las extensiones .out o .so.
«Esto se debe a que la amenaza depende de archivos como bibi-linux.out y nohup.out para su funcionamiento, junto con bibliotecas compartidas esenciales para el sistema operativo Unix/Linux (archivos .so)», dijo la compañía.
El desarrollo llega como Sekoia. reveló que el presunto actor de amenazas afiliado a Hamás conocido como Arid Viper (también conocido como APT-C-23, Desert Falcon, Gaza Cyber Gang y Molerats) probablemente esté organizado en dos subgrupos, cada uno de los cuales se centra en actividades de ciberespionaje contra Israel y Palestina, respectivamente.
«Apuntar a individuos es una práctica común de Arid Viper», afirman los investigadores de SentinelOne Tom Hegel y Aleksandar Milenkoski. dicho en un análisis publicado la semana pasada.
«Esto incluye objetivos palestinos e israelíes preseleccionados de alto perfil, así como grupos más amplios, típicamente de sectores críticos como organizaciones gubernamentales y de defensa, fuerzas del orden y partidos o movimientos políticos».
Las cadenas de ataques orquestadas por el grupo incluyen ataques de ingeniería social y phishing como vectores de intrusión iniciales para implementar una amplia variedad de malware personalizado para espiar a sus víctimas. Esto incluye Micropsia, PyMicropsia, Arid Gopher y BarbWire, y una nueva puerta trasera indocumentada llamada Rusty Viper que está escrita en Rust.
«En conjunto, el arsenal de Arid Viper proporciona diversas capacidades de espionaje, como grabar audio con el micrófono, detectar unidades flash insertadas y extraer archivos de ellas, y robar credenciales guardadas del navegador, por nombrar sólo algunas», ESET anotado a principios de este mes.