Stealth Soldier: Nova Backdoor Personalizada Mira Norte da África com Ataques de Espionagem
9 de Junho de 2023

Um novo backdoor personalizado chamado Stealth Soldier foi implantado como parte de um conjunto de ataques de espionagem altamente direcionados no norte da África.

A empresa de segurança cibernética Check Point disse em um relatório técnico que o malware Stealth Soldier é um backdoor não documentado que opera principalmente funções de vigilância, como exfiltração de arquivos, gravação de tela e microfone, registro de teclas e roubo de informações do navegador.

A operação em andamento é caracterizada pelo uso de servidores de comando e controle (C & C) que imitam sites pertencentes ao Ministério das Relações Exteriores da Líbia.

Os primeiros artefatos associados à campanha remontam a outubro de 2022.

Os ataques começam com possíveis alvos baixando binários de downloader falsos, entregues por meio de ataques de engenharia social e atuando como um canal para recuperar o Stealth Soldier, ao mesmo tempo em que exibe um arquivo PDF vazio como distração.

O implante modular personalizado, que se acredita ser usado parcimoniosamente, permite capacidades de vigilância, reunindo listas de diretórios e credenciais do navegador, registrando pressionamentos de teclas, gravando áudio do microfone, capturando telas, enviando arquivos e executando comandos do PowerShell.

"O malware usa diferentes tipos de comandos: alguns são plug-ins que são baixados do C & C e alguns são módulos dentro do malware", disse a Check Point, acrescentando que a descoberta de três versões do Stealth Soldier indica que está sendo mantido ativamente por seus operadores.

Alguns dos componentes não estão mais disponíveis para recuperação, mas os plug-ins de captura de tela e roubo de credenciais do navegador são inspirados em projetos de código aberto disponíveis no GitHub.

A infraestrutura do Stealth Soldier apresenta sobreposições com a infraestrutura associada a outra campanha de phishing chamada Eye on the Nile, que visava jornalistas e ativistas de direitos humanos egípcios em 2019.

O desenvolvimento sinaliza a "primeira possível reaparição desse ator de ameaça" desde então, sugerindo que o grupo está voltado para a vigilância contra alvos egípcios e líbios.

"Dada a modularidade do malware e o uso de múltiplas etapas de infecção, é provável que os atacantes continuem a evoluir suas táticas e técnicas e implantem novas versões deste malware em um futuro próximo", disse a Check Point.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...