Nuevo virus espía a activistas en Marruecos y el Sáhara Occidental

El malware se puede utilizar para atacar a usuarios de Windows y Android. La cadena de infección de esta campaña comienza con un correo electrónico de phishing enviado a objetivos compuestos por personas de interés para los atacantes, incluidos activistas de derechos humanos en Marruecos y la región del Sáhara Occidental. El correo electrónico contiene un contenido que solicita al destinatario que instale la aplicación móvil de la agencia de noticias saharaui o que incluya un tema de noticias relacionado con el Sáhara Occidental.

Etiquetas: piratas informáticos, derechos humanos, Marruecos, Sáhara Occidental, Cisco Talos, Starru Addax, RASD, Windows, Android, phishing lanzado,

Los activistas de derechos humanos en Marruecos y la región del Sahara Occidental son el objetivo de un nuevo actor de amenazas que aprovecha los ataques de phishing para engañar a las víctimas para que instalen aplicaciones Android falsas y proporcionen páginas de recolección de credenciales para usuarios de Windows.

Cisco Talos está rastreando el grupo de actividades bajo el nombre Starry Addax , describiéndolo principalmente como activistas asociados con la República Árabe Saharaui Democrática (RASD).

La infraestructura de Starry Addax (ondroid[.]site y ondroid[.]store) está diseñada para apuntar tanto a usuarios de Android como de Windows; este último involucra sitios web falsos disfrazados de páginas de inicio de sesión para sitios web de redes sociales populares.

A la luz de la investigación activa de la campaña, Talos dijo que no puede revelar públicamente qué sitios web están siendo objeto de ataques de recolección de credenciales.

«Sin embargo, los actores de amenazas están estableciendo su propia infraestructura y alojando páginas de recolección de credenciales, como páginas de inicio de sesión falsas para medios y servicios de correo electrónico populares en todo el mundo», dijo la compañía a The Hacker News.

Se sabe que el adversario, que se cree que está activo desde enero de 2024, envía correos electrónicos de phishing a sus objetivos, instando a los destinatarios a instalar la aplicación móvil de Sahara Press Service o un señuelo relevante relacionado con la región.

Dependiendo del sistema operativo desde donde se origina la solicitud, el objetivo recibe un APK malicioso que se hace pasar por Sahara Press Service o se le redirige a una página de inicio de sesión de una red social para recopilar sus credenciales.

El novedoso malware para Android, denominado FlexStarling, es versátil y está equipado para ofrecer componentes de malware adicionales y robar información confidencial de dispositivos infectados.

Una vez instalado, solicita a la víctima que le otorgue amplios permisos que le permitan al malware realizar acciones nefastas, incluida la obtención de comandos para ejecutar desde un comando y control (C2) basado en Firebase, una señal de que el actor de la amenaza está buscando volar bajo el radar.

«Las campañas como esta, dirigidas a personas de alto valor, generalmente tienen como objetivo permanecer sentados en silencio frente al dispositivo durante un período prolongado», dijo Talos.

«Todos los componentes, desde el malware hasta la infraestructura operativa, parecen estar hechos a medida para esta campaña específica, lo que indica un gran enfoque en el sigilo y la realización de actividades bajo el radar».

El desarrollo se produce en medio de la aparición de un nuevo troyano de acceso remoto (RAT) comercial para Android conocido como Oxycorat que se ofrece a la venta con diversas capacidades de recopilación de información.

Los últimos hallazgos marcan un giro interesante en el sentido de que Starry Addax se ha esforzado por construir su propio arsenal de herramientas e infraestructura para atacar a los activistas de derechos humanos en lugar de depender de malware comercial o software espía disponible comercialmente.

«Los ataques aún se encuentran en etapas incipientes, operativamente. Sin embargo, Starry Addax ha considerado que la infraestructura de soporte y el malware, FlexStarling, están lo suficientemente maduros como para comenzar a atacar a los activistas de derechos humanos en el norte de África», agregó Talos.

«El cronograma de eventos que incluye el establecimiento de puntos de entrega, C2 y la creación de malware desde principios de enero de 2024 indica que Starry Addax está configurando rápidamente una infraestructura para apuntar a personas de alto valor y continuará ganando impulso».

(La historia se actualizó después de la publicación para incluir información adicional compartida por Cisco Talos).

Fuente : The hacker news, 09/04/2024

#Marruecos #WesternSahara #Hackers #StarrAddax #Talos #Android #Windows #spsrasd

Be the first to comment

Leave a Reply

Tu dirección de correo no será publicada.


*