El Medio Oriente y el Ártico de África se han convertido en el objetivo de una nueva campaña que ofrece una interpretación modificada de un malware conocido llamado Asyncrat desde septiembre de 2024.
“La campaña, que aprovecha las redes sociales para distribuir malware, está conexo al clima geopolítico flagrante de la región”, dijeron los investigadores de tecnologías positivas Klimentiy Galkin y Stanislav Pyzhov en un observación publicado la semana pasada. “Los atacantes alojan malware en cuentas legítimas de intercambio de archivos en columna o canales de telegrama configurados especialmente para este propósito”.
Se estima que la campaña reclamó aproximadamente 900 víctimas desde el otoño de 2024, agregó la compañía de ciberseguridad rusa, lo que indica su naturaleza generalizada. La mayoría de las víctimas se encuentran en Libia, Arabia Saudita, Egipto, Turquía, Emiratos Árabes Unidos, Qatar y Túnez.
La actividad, atribuida a un actor de amenaza denominado Desierto Dexterfue descubierto en febrero de 2025. Involucra principalmente a crear cuentas temporales y canales de noticiero en Facebook. Estas cuentas se utilizan para propagar anuncios que contienen enlaces a un servicio de intercambio de archivos o canal de telegrama.
Los enlaces, a su vez, redirigen a los usuarios a una interpretación del malware Asyncrat que se ha cambiado para incluir un keylogger fuera de columna; apañarse 16 extensiones y aplicaciones de billetera de criptomonedas diferentes; y comunicarse con un bot de telegrama.
La cautiverio Kill comienza con un archivo RAR que incluye un script por lotes o un archivo JavaScript, que se programan para ejecutar un script PowerShell que es responsable de desencadenar la segunda etapa del ataque.
Específicamente, termina los procesos asociados con varios servicios .NET que podrían evitar que el malware comience, elimine los archivos con las extensiones BAT, PS1 y VBS de “C: ProgramData WindowShost” y “C: Usuarios Public” y crea un archivo nuevo VBS en C: ProgramData WindowShost y BAT y PS1 en C: Useros Public Public.
Luego, el script establece la persistencia en el sistema, reúne y exfila la información del sistema a un bot de telegrama, toma una captura de pantalla y, en última instancia, asta la carga útil de Asyncrat al inyectarla en el ejecutable “aspnet_compiler.exe”.
Actualmente no se sabe quién está detrás de la campaña, aunque los comentarios del idioma árabe en el archivo JavaScript aluden a su posible origen.
Un observación posterior de los mensajes enviados al Bot de Telegram ha revelado capturas de pantalla del propio escritorio del atacante llamado “Dextermsi”, con el script PowerShell, así como una utensilio emplazamiento Luminosity Link Rat. Igualmente está presente en el Bot Telegram un enlace a un canal de telegrama llamado “Dexterly”, lo que sugiere que el actor de amenaza podría ser de Libia. El canal fue creado el 5 de octubre de 2024.
“La mayoría de las víctimas son usuarios comunes, incluidos los empleados en los siguientes sectores: producción de petróleo, construcción, tecnología de la información, (y) agricultura”, dijeron los investigadores.
“Las herramientas utilizadas por Desert Dexter no son particularmente sofisticadas. Sin retención, la combinación de anuncios de Facebook con servicios legítimos y referencias a la situación geopolítica ha llevado a la infección de numerosos dispositivos”.
El expansión se produce cuando Qianxin reveló detalles de una campaña de phishing de asta denominado Operation Sea Elephant que se ha enfrentado dirigido a instituciones de investigación científica en China con el objetivo de entregar una puerta trasera capaz de cosechar información delicada relacionada con las ciencias y las tecnologías oceánicas.
La actividad se ha atribuido a un clúster llamado UTG-Q-011, que, según dijo, es un subconjunto internamente de otro colectivo adversario llamado CNC Group que comparte superposiciones tácticas con mosaicos, un actor de amenaza que se sospecha que es de la India.
