Una nuova campagna di malware colpisce il Medio Oriente e il Nord Africa
Dal settembre 2024, il Medio Oriente e il Nord Africa sono diventati bersaglio di una nuova campagna che distribuisce una versione modificata di un malware noto come AsyncRAT. Secondo i ricercatori di Positive Technologies, Klimentiy Galkin e Stanislav Pyzhov, la campagna sfrutta i social media per diffondere il malware, legandosi all’attuale clima geopolitico della regione. Gli attaccanti ospitano il malware in account di condivisione file online legittimi o canali Telegram creati appositamente per questo scopo.
La campagna, attribuita a un attore di minaccia soprannominato Desert Dexter, è stata scoperta nel febbraio 2025. Si stima che abbia colpito circa 900 vittime dall’autunno 2024, dimostrando la sua ampia diffusione. La maggior parte delle vittime si trova in Libia, Arabia Saudita, Egitto, Turchia, Emirati Arabi Uniti, Qatar e Tunisia.
Il processo di attacco inizia con un archivio RAR che include uno script batch o un file JavaScript, programmati per eseguire uno script PowerShell responsabile dell’attivazione della seconda fase dell’attacco. Questo script termina i processi associati a vari servizi .NET che potrebbero impedire l’avvio del malware, elimina file con estensioni BAT, PS1 e VBS dalle cartelle “C:ProgramDataWindowsHost” e “C:UsersPublic”, e crea un nuovo file VBS in C:ProgramDataWindowsHost, oltre a file BAT e PS1 in C:UsersPublic.
Successivamente, lo script stabilisce la persistenza nel sistema, raccoglie ed esfiltra informazioni di sistema a un bot Telegram, cattura uno screenshot e infine lancia il payload di AsyncRAT iniettandolo nell’eseguibile “aspnet_compiler.exe”.
La campagna coinvolge principalmente la creazione di account temporanei e canali di notizie su Facebook. Questi account vengono utilizzati per pubblicare annunci contenenti link a un servizio di condivisione file o a un canale Telegram. I link, a loro volta, reindirizzano gli utenti a una versione del malware AsyncRAT modificata per includere un keylogger offline, cercare 16 diverse estensioni e applicazioni di portafogli di criptovalute e comunicare con un bot Telegram.
Non è attualmente noto chi sia dietro la campagna, anche se i commenti in lingua araba nel file JavaScript suggeriscono una possibile origine. L’analisi dei messaggi inviati al bot Telegram ha rivelato screenshot del desktop dell’attaccante, denominato “DEXTERMSI”, che mostrano lo script PowerShell e uno strumento chiamato Luminosity Link RAT. Inoltre, nel bot Telegram è presente un link a un canale Telegram chiamato “dexterlyly”, suggerendo che l’attore della minaccia potrebbe provenire dalla Libia. Il canale è stato creato il 5 ottobre 2024.
La maggior parte delle vittime sono utenti comuni, inclusi dipendenti nei settori della produzione di petrolio, costruzioni, tecnologia dell’informazione e agricoltura. Gli strumenti utilizzati da Desert Dexter non sono particolarmente sofisticati. Tuttavia, la combinazione di annunci su Facebook con account legittimi rende la campagna particolarmente insidiosa.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
