O Oriente Médio e o Norte da África tornaram-se o alvo de uma nova campanha que entrega uma versão modificada de um malware conhecido como AsyncRAT desde setembro de 2024.
"A campanha, que utiliza as redes sociais para distribuir malware, está relacionada ao atual clima geopolítico da região", disseram os pesquisadores da Positive Technologies, Klimentiy Galkin e Stanislav Pyzhov, em uma análise publicada na semana passada.
"Os atacantes hospedam o malware em contas legítimas de compartilhamento de arquivos online ou canais do Telegram configurados especialmente para esse propósito." A campanha teria feito aproximadamente 900 vítimas desde o outono de 2024, adicionou a empresa russa de cibersegurança, indicando sua natureza disseminada.
A maioria das vítimas está localizada na Líbia, Arábia Saudita, Egito, Turquia, Emirados Árabes Unidos, Qatar e Tunísia.
A atividade, atribuída a um ator de ameaça apelidado de Desert Dexter, foi descoberta em fevereiro de 2025.
Envolve principalmente a criação de contas temporárias e canais de notícias no Facebook.
Essas contas são então usadas para publicar anúncios contendo links para um serviço de compartilhamento de arquivos ou canal do Telegram.
Os links, por sua vez, redirecionam os usuários para uma versão do malware AsyncRAT que foi alterada para incluir um keylogger offline; buscar por 16 diferentes extensões e aplicativos de carteiras de criptomoedas; e comunicar-se com um bot do Telegram.
A kill chain começa com um arquivo RAR que inclui um script em batch ou um arquivo JavaScript, que são programados para executar um script em PowerShell responsável por desencadear a segunda fase do ataque.
Especificamente, ele encerra processos associados a vários serviços .NET que poderiam impedir o início do malware, deleta arquivos com as extensões BAT, PS1 e VBS das pastas "C:\ProgramData\WindowsHost" e "C:\Users\Public", e cria um novo arquivo VBS em "C:\ProgramData\WindowsHost", e arquivos BAT e PS1 em "C:\Users\Public".
O script então estabelece persistência no sistema, coleta e exfiltra informações do sistema para um bot do Telegram, tira uma captura de tela, e, finalmente, lança a payload do AsyncRAT injetando-a no executável "aspnet_compiler.exe".
Atualmente, não se sabe quem está por trás da campanha, embora comentários no idioma árabe no arquivo JavaScript aludam à sua possível origem.
Uma análise mais aprofundada das mensagens enviadas ao bot do Telegram revelou capturas de tela da própria área de trabalho do atacante, nomeada "DEXTERMSI", apresentando o script em PowerShell, além de uma ferramenta chamada Luminosity Link RAT.
Também presente no bot do Telegram está um link para um canal do Telegram chamado "dexterlyly", sugerindo que o ator de ameaça poderia ser da Líbia.
O canal foi criado em 5 de outubro de 2024.
"A maioria das vítimas são usuários comuns, incluindo empregados nos seguintes setores: produção de petróleo, construção, tecnologia da informação, [e] agricultura", disseram os pesquisadores.
"As ferramentas utilizadas por Desert Dexter não são particularmente sofisticadas.
No entanto, a combinação de anúncios no Facebook com serviços legítimos e referências à situação geopolítica levou à infecção de numerosos dispositivos." Esse desenvolvimento ocorre conforme a QiAnXin revelou detalhes de uma campanha de spear-phishing denominada Operação Sea Elephant que tem como alvo instituições de pesquisa científica na China com o objetivo de entregar um backdoor capaz de coletar informações sensíveis relacionadas às ciências e tecnologias oceânicas.
A atividade foi atribuída a um cluster chamado UTG-Q-011, que, segundo ela, é um subconjunto dentro de outro coletivo adversário chamado grupo CNC que compartilha sobreposições táticas com Patchwork, um ator de ameaça suspeito de ser da Índia.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...