Hackers Atacam Ativistas dos Direitos Humanos no Marrocos e Saara Ocidental
10 de Abril de 2024

Ativistas de direitos humanos no Marrocos e na região do Saara Ocidental estão sendo alvos de um novo ator de ameaças que utiliza ataques de phishing para enganar vítimas a instalarem aplicativos falsos de Android e apresentar páginas de captura de credenciais para usuários do Windows.

A Cisco Talos está acompanhando o conjunto de atividades sob o nome de Starry Addax, descrevendo-a como visando principalmente ativistas associados à República Árabe Saaraui Democrática (SADR).

A infraestrutura do Starry Addax - ondroid[.]site e ondroid[.]store - é projetada para visar tanto usuários de Android quanto de Windows, com este último envolvendo sites falsos que se passam por páginas de login para redes sociais populares.

À luz da investigação ativa sobre a campanha, a Talos disse que não pode divulgar publicamente quais sites estão sendo alvo de ataques de captura de credenciais.

"No entanto, os atores da ameaça estão estabelecendo sua própria infraestrutura e hospedando páginas de captura de credenciais, como páginas de login falsas para serviços de mídia e e-mail populares em todo o mundo", informou a empresa ao The Hacker News.

O adversário, acredita-se estar ativo desde janeiro de 2024, é conhecido por enviar e-mails de spear-phishing para alvos, instando os destinatários a instalar o aplicativo móvel do Serviço de Imprensa do Saara ou um isco relevante relacionado à região.

Dependendo do sistema operacional de onde o pedido está vindo, o alvo ou é servido com um APK malicioso que se passa pelo Serviço de Imprensa do Saara ou é redirecionado para uma página de login de redes sociais para colher suas credenciais.

O novo malware para Android, batizado de FlexStarling, é versátil e equipado para entregar componentes adicionais de malware e roubar informações sensíveis de dispositivos infectados.

Uma vez instalado, ele solicita à vítima que lhe conceda permissões extensas que permitem ao malware realizar ações nefastas, incluindo buscar comandos a serem executados de um comando e controle (C2) baseado no Firebase, um sinal de que o ator de ameaça está procurando passar despercebido.

"Campanhas como essa que visam indivíduos de alto valor geralmente pretendem permanecer de forma discreta no dispositivo por um período prolongado", disse a Talos.

"Todos os componentes, do malware à infraestrutura operacional, parecem ser personalizados para essa campanha específica, indicando um grande foco em discrição e realização de atividades sob o radar."

O desenvolvimento ocorre em meio ao surgimento de um novo remote access trojan (RAT) comercial para Android conhecido como Oxycorat, que está sendo oferecido à venda com capacidades diversas de coleta de informações.

As últimas descobertas marcam uma reviravolta interessante no sentido de que o Starry Addax fez um esforço para construir seu próprio arsenal de ferramentas e infraestrutura para visar ativistas de direitos humanos, em vez de depender de malware de commodity ou spyware comercialmente disponível.

"Os ataques estão ainda nos estágios iniciais, operacionalmente.

No entanto, a infraestrutura de suporte e o malware, FlexStarling, foram considerados maduros o suficiente pelo Starry Addax para começar a visar ativistas de direitos humanos no norte da África", adicionou a Talos.

"A linha do tempo dos eventos, incluindo o estabelecimento de pontos de entrega, C2s e construção de malware desde o início de janeiro de 2024, indica que o Starry Addax está rapidamente configurando infraestrutura para visar indivíduos de alto valor e continuará ganhando impulso."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...