Istaknuti ljudi iz izraelske vlade meta su napada društvenim inženjeringom s ciljem krađe osjetljivih podataka s njihovih uređaja.
Istraživači na Cybereasonu primijetili su da je to ‘Operacija Bradata Barbie’ koju vodi AridViper, APT pretežno aktivan na Bliskom istoku. Ova kampanja mami mete lažnim računima na društvenim mrežama i instalira špijunske alate na njihove uređaje za njuškanje i eksfiltraciju važnih podataka.
Operacija Bradata Barbie protiv izraelskih dužnosnika
AridViper, također i Desert Falcon, APT-C-23 ili Two-tailed Scorpion, politički je vođen APT koji se uglavnom pojavljuje s Bliskog istoka. S spear-phishingom kao svojim glavnim oružjem, AridViper je u prošlosti ciljao na palestinske policijske, vojne i obrazovne ustanove.
Također pročitajte – SAD zaplijenile kriptovalutu vrijednu 34 milijuna dolara s Dark Weba
Sada je ponovno aktivan s novom kampanjom pod nazivom Operacija bradata Barbie, kako su primijetili Cybereasonovi istraživači Nocturnusa. Prema njima, kampanja je pažljivo osmišljena kako bi ciljala na dužnosnike iz izraelskog sektora obrane, provođenja zakona i hitne službe.
Mamljenje somovim računima
Na temelju društvenog inženjeringa, počinje s lažnim Facebook račun na društvenim mrežama koji kontaktira metu i navodi ih na preuzimanje trojaniziranih aplikacija za poruke. Pojavljujući se kao mlade žene, somovi računi potom će uvjeriti metu da prijeđe na WhatsApp, a zatim na ‘diskretniju’ uslugu razmjene poruka.
I na kraju traže od mete da otvori i instalira zlonamjernu .RAR arhivu mameći je kao neki seksualni video! Kada se dogodi, otvara se Barb(ie) Downloader, alat koji se koristi za instalaciju BarbWire Backdoor-a, koji obavlja nekoliko provjera i poziva još jedan zlonamjerni alat u uređaj.
Prije nego što nastavi, BarbWire Backdoor skenira VM-ove, sandboxove, antivirusne alate itd., pa čak prikuplja i šalje osnovne detalje poput informacija o OS-u hakerima C2. Ovaj proces uglavnom ostaje neotkriven zbog visoke razine maskiranja pomoću snažne enkripcije, raspršivanja API-ja i zaštite procesa.
Ovaj backdoor zlonamjernog softvera sposoban je za razne nadzorne funkcije kao što su keylogging, snimanje zaslona, audio prisluškivanje i snimanje. Također, sposoban je kreirati planirane zadatke, šifrirati sadržaj, preuzimati dodatne sadržaje zlonamjernog softvera i eksfiltrirati podatke.
Istraživači su također uočili još jednu varijantu nazvanu VolatileVenom – zlonamjerni softver za Android usmjeren na nadzor i krađu s ciljnih Android uređaja. Sposoban je snimati pozive, koristiti mikrofon i audio funkcije, čitati poruke i obavijesti društvenih aplikacija kao što su Što ima, FacebookTelegram, Instagram, SkypeIMO i Viber.
Također, može izdvojiti zapise poziva, provjeriti popise kontakata, ukrasti SMS poruke i datoteke, koristiti kameru za snimanje fotografija, promijeniti WiFi veze i preuzeti željene datoteke na uređaj.
