Um grupo de hacktivistas pró-Hamas tem sido observado usando um novo malware de destruição baseado em Linux chamado BiBi-Linux Wiper, direcionado a entidades israelenses em meio à contínua guerra entre Israel e Hamas.
"Este malware é um executável x64 ELF, sem ofuscação ou medidas de proteção", disse a Security Joes em um novo relatório publicado hoje.
"Ele permite aos atacantes especificar pastas alvo e pode potencialmente destruir todo o sistema operacional se executado com permissões de root".
Algumas de suas outras capacidades incluem multitarefa para corromper arquivos simultaneamente para melhorar sua velocidade e alcance, sobrescrever arquivos, renomeá-los com uma extensão contendo a string codificada "BiBi" (no formato "[RANDOM_NAME].BiBi[NUMBER]"), e excluir certos tipos de arquivos de serem corrompidos.
"Enquanto a string "bibi" (no nome do arquivo), pode parecer aleatória, tem um significado significativo quando misturada com tópicos como a política no Oriente Médio, já que é um apelido comum do Primeiro Ministro de Israel, Benjamin Netanyahu", acrescentou a empresa de segurança cibernética.
O malware destrutivo, codificado em C/C++ e com um tamanho de arquivo de 1.2 MB, permite ao ator da ameaça especificar pastas alvo por meio de parâmetros de linha de comando, optando por padrão para o diretório root ("/") se nenhum caminho é fornecido.
No entanto, a realização da ação neste nível requer permissões de root.
Outro aspecto notável do BiBi-Linux Wiper é o uso do comando nohup durante a execução para rodar sem impedimentos em segundo plano.
Alguns dos tipos de arquivo que são pulados de serem sobrescritos são aqueles com as extensões .out ou .so.
"Isso ocorre porque a ameaça depende de arquivos como bibi-linux.out e nohup.out para sua operação, junto com bibliotecas compartilhadas essenciais para o sistema operacional Unix / Linux (.so files)", disse a empresa.
O desenvolvimento chega ao mesmo tempo em que a Sekoia revelava que o suposto ator de ameaças afiliado ao Hamas conhecido como Arid Viper (também conhecido como APT-C-23, Desert Falcon, Gaza Cyber Gang e Molerats) provavelmente é organizado em dois subgrupos, com cada cluster focado em atividades de espionagem cibernética contra Israel e Palestina, respectivamente.
"Alvejar indivíduos é uma prática comum do Arid Viper", disseram os pesquisadores Tom Hegel e Aleksandar Milenkoski da SentinelOne em uma análise publicada na semana passada.
"Isso inclui alvos israelenses e palestinos de alto perfil pré-selecionados, bem como grupos mais amplos, normalmente setores críticos como organizações de defesa e governo, aplicação da lei e partidos ou movimentos políticos".
As seqüências de ataques orquestradas pelo grupo incluem engenharia social e ataques de phishing como vetores de intrusão iniciais para implantar uma grande variedade de malwares personalizados para espionar suas vítimas.
Isso inclui Micropsia, PyMicropsia, Arid Gopher e BarbWire, e um novo backdoor não documentado chamado Rusty Viper que é escrito em Rust.
"Coletivamente, o arsenal do Arid Viper oferece diversas capacidades de espionagem, como gravar áudio com o microfone, detectar drives flash inseridos e exfiltrar arquivos deles, e roubar credenciais de navegadores salvas, apenas para citar alguns", observou a ESET no início deste mês.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...