Hacktivistas pró-Hamas visam entidades israelenses com Malware Wiper
31 de Outubro de 2023

Um grupo de hacktivistas pró-Hamas tem sido observado usando um novo malware de destruição baseado em Linux chamado BiBi-Linux Wiper, direcionado a entidades israelenses em meio à contínua guerra entre Israel e Hamas.

"Este malware é um executável x64 ELF, sem ofuscação ou medidas de proteção", disse a Security Joes em um novo relatório publicado hoje.

"Ele permite aos atacantes especificar pastas alvo e pode potencialmente destruir todo o sistema operacional se executado com permissões de root".

Algumas de suas outras capacidades incluem multitarefa para corromper arquivos simultaneamente para melhorar sua velocidade e alcance, sobrescrever arquivos, renomeá-los com uma extensão contendo a string codificada "BiBi" (no formato "[RANDOM_NAME].BiBi[NUMBER]"), e excluir certos tipos de arquivos de serem corrompidos.

"Enquanto a string "bibi" (no nome do arquivo), pode parecer aleatória, tem um significado significativo quando misturada com tópicos como a política no Oriente Médio, já que é um apelido comum do Primeiro Ministro de Israel, Benjamin Netanyahu", acrescentou a empresa de segurança cibernética.

O malware destrutivo, codificado em C/C++ e com um tamanho de arquivo de 1.2 MB, permite ao ator da ameaça especificar pastas alvo por meio de parâmetros de linha de comando, optando por padrão para o diretório root ("/") se nenhum caminho é fornecido.

No entanto, a realização da ação neste nível requer permissões de root.

Outro aspecto notável do BiBi-Linux Wiper é o uso do comando nohup durante a execução para rodar sem impedimentos em segundo plano.

Alguns dos tipos de arquivo que são pulados de serem sobrescritos são aqueles com as extensões .out ou .so.

"Isso ocorre porque a ameaça depende de arquivos como bibi-linux.out e nohup.out para sua operação, junto com bibliotecas compartilhadas essenciais para o sistema operacional Unix / Linux (.so files)", disse a empresa.

O desenvolvimento chega ao mesmo tempo em que a Sekoia revelava que o suposto ator de ameaças afiliado ao Hamas conhecido como Arid Viper (também conhecido como APT-C-23, Desert Falcon, Gaza Cyber Gang e Molerats) provavelmente é organizado em dois subgrupos, com cada cluster focado em atividades de espionagem cibernética contra Israel e Palestina, respectivamente.

"Alvejar indivíduos é uma prática comum do Arid Viper", disseram os pesquisadores Tom Hegel e Aleksandar Milenkoski da SentinelOne em uma análise publicada na semana passada.

"Isso inclui alvos israelenses e palestinos de alto perfil pré-selecionados, bem como grupos mais amplos, normalmente setores críticos como organizações de defesa e governo, aplicação da lei e partidos ou movimentos políticos".

As seqüências de ataques orquestradas pelo grupo incluem engenharia social e ataques de phishing como vetores de intrusão iniciais para implantar uma grande variedade de malwares personalizados para espionar suas vítimas.

Isso inclui Micropsia, PyMicropsia, Arid Gopher e BarbWire, e um novo backdoor não documentado chamado Rusty Viper que é escrito em Rust.

"Coletivamente, o arsenal do Arid Viper oferece diversas capacidades de espionagem, como gravar áudio com o microfone, detectar drives flash inseridos e exfiltrar arquivos deles, e roubar credenciais de navegadores salvas, apenas para citar alguns", observou a ESET no início deste mês.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...