Hackers sofisticados engañaron a funcionarios israelíes de alto rango
Investigadores revelaron que el grupo de hacking respaldado por Hamas e identificado como ‘APT-C-23’ engañó a funcionarios israelíes. Los funcionarios afectados trabajan en agencias de defensa, leyes y gobierno, lo que en última instancia condujo al despliegue de nuevo malware.
La campaña incluye trucos de ingeniería social de alto nivel. Por ejemplo, la creación de perfiles de redes sociales falsos y un compromiso a largo plazo con los objetivos antes de enviar spyware
Según los analistas de Cybereason, que llamaron a esta nueva campaña ‘Operación Barbie barbuda‘, APT-C-23 también está implementando nuevas puertas traseras personalizadas para dispositivos Windows y Android orientadas al espionaje.
Perfiles falsos de Facebook
Los atacantes han creado varios perfiles de Facebook falsos utilizando identidades fabricadas e imágenes robadas o generadas por inteligencia artificial de mujeres atractivas. Ellos se acercan a los objetivos a través de estos perfiles.
Para que parezcan auténticos, los operadores han curado estos perfiles durante meses, publicando en hebreo y dando me gusta a grupos y páginas populares en Israel.
Los operadores de estos perfiles construyen toda una red de amigos. Estas redes son, en realidad, personas objetivo que trabajan en la policía, las fuerzas de defensa, los servicios de emergencia o el gobierno de Israel.
Después de ganarse la confianza del objetivo al interactuar con él por un tiempo, los atacantes sugieren migrar la conversación a WhatsApp, supuestamente para una mejor privacidad.
Aquí es cuando la conversación toma un giro erótico. Los atacantes sugieren otro cambio a una aplicación de mensajería instantánea de Android supuestamente más discreta, que en realidad es el malware VolatileVenom.
Simultáneamente, el atacante envía un enlace a un archivo RAR que supuestamente contiene un video sexual. Sin embargo, en realidad es un instalador para la puerta trasera BarbWire.
Spyware de Android actualizado
Comenzando con VolatileVenom, este malware de Android se disfraza como una aplicación de mensajería, con mayor frecuencia Wink Chat.
Cybereason aclara que esta puerta trasera ha sido utilizada por APT-C-23 desde al menos abril de 2020. No obstante, se ha enriquecido con funciones adicionales desde entonces.
Durante el primer proceso de inicio e inscripción, la aplicación muestra un error falso y declara que se eliminará automáticamente del dispositivo.
En realidad, sin embargo, continúa ejecutándose en segundo plano, realizando las siguientes funciones:
- Robar mensajes SMSs
- Leer información de la lista de contactos
- Usar la cámara del dispositivo para tomar fotos
- Robar archivos con las siguientes extensiones: pdf, doc, docs, ppt, pptx, xls, xlsx, txt, text
- Robar imágenes con las siguientes extensiones: jpg, jpeg, png
- Grabar audio
- Usar Phishing para robar credenciales de aplicaciones populares como Facebook y Twitter
- Obtener aplicaciones instaladas
- Reiniciar WiFi
- Grabar llamadas/Llamadas de WhatsApp
- Extraer registros de llamadas
- Descargar archivos al dispositivo infectado
- Tomar capturas de pantalla
- Leer las notificaciones de las siguientes aplicaciones: WhatsApp, Facebook, Telegram, Instagram, Skype, IMO, Viber
- Descartar cualquier notificación generada por el sistema.
Si el dispositivo de la víctima ejecuta Android 10 o posterior, la aplicación usa un ícono de Google Play, Chrome o Google Maps. En versiones anteriores de Android, oculta completamente el ícono de la aplicación.
Malware Barb(ie) y BarbWire
Como parte de los intentos de phishing, los actores de amenazas eventualmente envían al objetivo un archivo RAR que supuestamente son fotos o videos de desnudos.
Sin embargo, este archivo RAR contiene el instalador del malware Barb(ie), que conduce a la instalación de la puerta trasera BarbWire.
Una muestra de Barb(ie) obsrvada por Cybereason tiene el nombre de archivo “Notificaciones de Windows” y, cuando se inicia, realiza algunas comprobaciones antianálisis.
A continuación, Barb(ie) se conecta a los servidores de comando y control (C2) y envía un perfil de identificador del sistema. Además, también establece la persistencia mediante la creación de dos tareas programadas. Finalmente, descarga e instala la puerta trasera BarbWire en el dispositivo.
BarbWire es una puerta trasera completa con amplias capacidades como:
- Persistencia
- Reconocimiento del sistema operativo (nombre de usuario, arquitectura, versión de Windows, productos antivirus instalados)
- Cifrado de datos
- Registro de teclas
- Captura de pantalla
- Grabación de audio
- Descargar malware adicional
- Enumeración de directorios y unidades locales/externas
- Robar tipos de archivos específicos y filtrar datos en formato RAR
Cybereason pudo probar al menos tres variantes diferentes de BarbWire, lo que indica su desarrollo activo por parte del grupo APT-C-23.
Campañas en evolución
APT-C-23 utiliza muchas técnicas que hemos visto empleadas en muchas campañas pasadas contra objetivos israelíes. Sin embargo, continúa evolucionando con nuevas herramientas y esfuerzos de ingeniería social más complejos.
Un punto de diferenciación entre Operación Barbie Barbuda la y campañas anteriores es que no hay infraestructura superpuesta, lo que demuestra el interés del grupo en evitar la detección.
El uso de dos puertas traseras, una para Windows y otra para Android, es otra escalada para el actor de amenazas. Esto resulta en un espionaje muy agresivo para los objetivos comprometidos.