Um novo backdoor personalizado chamado Stealth Soldier foi implantado como parte de um conjunto de ataques de espionagem altamente direcionados no norte da África.
A empresa de segurança cibernética Check Point disse em um relatório técnico que o malware Stealth Soldier é um backdoor não documentado que opera principalmente funções de vigilância, como exfiltração de arquivos, gravação de tela e microfone, registro de teclas e roubo de informações do navegador.
A operação em andamento é caracterizada pelo uso de servidores de comando e controle (C & C) que imitam sites pertencentes ao Ministério das Relações Exteriores da Líbia.
Os primeiros artefatos associados à campanha remontam a outubro de 2022.
Os ataques começam com possíveis alvos baixando binários de downloader falsos, entregues por meio de ataques de engenharia social e atuando como um canal para recuperar o Stealth Soldier, ao mesmo tempo em que exibe um arquivo PDF vazio como distração.
O implante modular personalizado, que se acredita ser usado parcimoniosamente, permite capacidades de vigilância, reunindo listas de diretórios e credenciais do navegador, registrando pressionamentos de teclas, gravando áudio do microfone, capturando telas, enviando arquivos e executando comandos do PowerShell.
"O malware usa diferentes tipos de comandos: alguns são plug-ins que são baixados do C & C e alguns são módulos dentro do malware", disse a Check Point, acrescentando que a descoberta de três versões do Stealth Soldier indica que está sendo mantido ativamente por seus operadores.
Alguns dos componentes não estão mais disponíveis para recuperação, mas os plug-ins de captura de tela e roubo de credenciais do navegador são inspirados em projetos de código aberto disponíveis no GitHub.
A infraestrutura do Stealth Soldier apresenta sobreposições com a infraestrutura associada a outra campanha de phishing chamada Eye on the Nile, que visava jornalistas e ativistas de direitos humanos egípcios em 2019.
O desenvolvimento sinaliza a "primeira possível reaparição desse ator de ameaça" desde então, sugerindo que o grupo está voltado para a vigilância contra alvos egípcios e líbios.
"Dada a modularidade do malware e o uso de múltiplas etapas de infecção, é provável que os atacantes continuem a evoluir suas táticas e técnicas e implantem novas versões deste malware em um futuro próximo", disse a Check Point.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...