Ativistas de direitos humanos no Marrocos e na região do Saara Ocidental estão sendo alvos de um novo ator de ameaças que utiliza ataques de phishing para enganar vítimas a instalarem aplicativos falsos de Android e apresentar páginas de captura de credenciais para usuários do Windows.
A Cisco Talos está acompanhando o conjunto de atividades sob o nome de Starry Addax, descrevendo-a como visando principalmente ativistas associados à República Árabe Saaraui Democrática (SADR).
A infraestrutura do Starry Addax - ondroid[.]site e ondroid[.]store - é projetada para visar tanto usuários de Android quanto de Windows, com este último envolvendo sites falsos que se passam por páginas de login para redes sociais populares.
À luz da investigação ativa sobre a campanha, a Talos disse que não pode divulgar publicamente quais sites estão sendo alvo de ataques de captura de credenciais.
"No entanto, os atores da ameaça estão estabelecendo sua própria infraestrutura e hospedando páginas de captura de credenciais, como páginas de login falsas para serviços de mídia e e-mail populares em todo o mundo", informou a empresa ao The Hacker News.
O adversário, acredita-se estar ativo desde janeiro de 2024, é conhecido por enviar e-mails de spear-phishing para alvos, instando os destinatários a instalar o aplicativo móvel do Serviço de Imprensa do Saara ou um isco relevante relacionado à região.
Dependendo do sistema operacional de onde o pedido está vindo, o alvo ou é servido com um APK malicioso que se passa pelo Serviço de Imprensa do Saara ou é redirecionado para uma página de login de redes sociais para colher suas credenciais.
O novo malware para Android, batizado de FlexStarling, é versátil e equipado para entregar componentes adicionais de malware e roubar informações sensíveis de dispositivos infectados.
Uma vez instalado, ele solicita à vítima que lhe conceda permissões extensas que permitem ao malware realizar ações nefastas, incluindo buscar comandos a serem executados de um comando e controle (C2) baseado no Firebase, um sinal de que o ator de ameaça está procurando passar despercebido.
"Campanhas como essa que visam indivíduos de alto valor geralmente pretendem permanecer de forma discreta no dispositivo por um período prolongado", disse a Talos.
"Todos os componentes, do malware à infraestrutura operacional, parecem ser personalizados para essa campanha específica, indicando um grande foco em discrição e realização de atividades sob o radar."
O desenvolvimento ocorre em meio ao surgimento de um novo remote access trojan (RAT) comercial para Android conhecido como Oxycorat, que está sendo oferecido à venda com capacidades diversas de coleta de informações.
As últimas descobertas marcam uma reviravolta interessante no sentido de que o Starry Addax fez um esforço para construir seu próprio arsenal de ferramentas e infraestrutura para visar ativistas de direitos humanos, em vez de depender de malware de commodity ou spyware comercialmente disponível.
"Os ataques estão ainda nos estágios iniciais, operacionalmente.
No entanto, a infraestrutura de suporte e o malware, FlexStarling, foram considerados maduros o suficiente pelo Starry Addax para começar a visar ativistas de direitos humanos no norte da África", adicionou a Talos.
"A linha do tempo dos eventos, incluindo o estabelecimento de pontos de entrega, C2s e construção de malware desde o início de janeiro de 2024, indica que o Starry Addax está rapidamente configurando infraestrutura para visar indivíduos de alto valor e continuará ganhando impulso."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...