10 mars 2025Ravie LakshmananVol de données / crypto-monnaie

Le Moyen-Orient et l’Afrique du Nord sont devenus la cible d’une nouvelle campagne qui fournit une version modifiée d’un malware connu appelé Asyncrat Depuis septembre 2024.

“La campagne, qui tire parti des médias sociaux pour distribuer des logiciels malveillants, est lié au climat géopolitique actuel de la région”, les chercheurs de technologies positives Klimentiy Galkin et Stanislav Pyzhov dit Dans une analyse publiée la semaine dernière. “Les attaquants hébergent des logiciels malveillants dans des comptes de partage de fichiers en ligne légitimes ou des canaux télégrammes mis en place spécialement à cet effet.”

On estime que la campagne a réclamé environ 900 victimes depuis l’automne 2024, a ajouté la société russe de cybersécurité, indiquant sa nature répandue. La majorité des victimes sont situées en Libye, en Arabie saoudite, en Égypte, en Turquie, aux Émirats arabes unis, au Qatar et en Tunisie.

L’activité, attribuée à un acteur de menace surnommé Désert dextera été découvert en février 2025. Il implique principalement de créer des comptes temporaires et des chaînes d’information sur Facebook. Ces comptes sont ensuite utilisés pour publier des publicités contenant des liens vers un service de partage de fichiers ou un canal télégramme.

Cybersécurité

Les liens, à leur tour, redirigent les utilisateurs vers une version du logiciel malveillant asyncrat qui a été modifié pour inclure un Keylogger hors ligne; rechercher 16 extensions et applications de portefeuille de crypto-monnaie différentes; et communiquez avec un bot télégramme.

La chaîne Kill commence par une archive RAR qui comprend un script de lot ou un fichier JavaScript, qui sont programmées pour exécuter un script PowerShell responsable du déclenchement de la deuxième étape de l’attaque.

Plus précisément, il met fin aux processus associés à divers services .NET qui pourraient empêcher les logiciels malveillants de démarrer, supprime les fichiers avec les extensions BAT, PS1 et VBS à partir des dossiers “C: ProgramData Windowshost” et “C: Users public”, et crée un fichier VBS dans C: ProgramData Windowshost, and Bat et ps1 Files in C: Users public.

Le script établit ensuite la persistance sur le système, rassemble et exfiltre les informations du système à un bot télégramme, prend une capture d’écran et lance finalement la charge utile asyncrat en l’injectant dans le “ASPNET_COMPILER.exe” exécutable.

On ne sait actuellement pas qui est à l’origine de la campagne, bien que les commentaires de la langue arabe dans le fichier JavaScript font allusion à leur origine possible.

Une analyse plus approfondie des messages envoyés au bot télégramme a révélé des captures d’écran du propre bureau de l’attaquant nommé “Dextermsi”, avec le script PowerShell ainsi qu’un outil nommé Rat de liaison luminosité. Le bot télégramme est également présent un lien vers un canal télégramme nommé “dextéralement“suggérant que l’acteur de menace pourrait provenir de la Libye. La chaîne a été créée le 5 octobre 2024.

«La majorité des victimes sont des utilisateurs ordinaires, y compris les employés dans les secteurs suivants: production de pétrole, construction, technologies de l’information, [and] Agriculture “, ont déclaré les chercheurs.

Cybersécurité

“Les outils utilisés par Desert Dexter ne sont pas particulièrement sophistiqués. Cependant, la combinaison d’annonces Facebook avec des services légitimes et des références à la situation géopolitique a conduit à l’infection de nombreux appareils.”

Le développement vient comme Qianxin révélé Détails d’une campagne de phistes de lance surnommée Opération Sea Elephant qui a été trouvé ciblant les institutions de recherche scientifique en Chine dans le but de fournir une porte dérobée capable de récolter des informations sensibles liées aux sciences et aux technologies de l’océan.

L’activité a été attribuée à un cluster nommé UTG-Q-011, qui, a-t-il dit, est un sous-ensemble au sein d’un autre collectif contradictoire appelé groupe CNC qui partage des chevauchements tactiques avec le patchwork, un acteur de menace soupçonné être de l’Inde.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57