Personas destacadas del gobierno israelí son objeto de ataques de ingeniería social destinados a robar datos confidenciales de sus dispositivos.
Los investigadores de Cybereason señalaron esto como ‘Operación Barbie barbuda’, dirigida por AridViper, una APT predominantemente activa en el Medio Oriente. Esta campaña atrae a los objetivos con cuentas de redes sociales falsas e instala herramientas de software espía en sus dispositivos para rastrear y filtrar datos importantes.
Operación Barbie barbuda dirigida a funcionarios de Israel
AridViper, también Desert Falcon, APT-C-23, o Two-tailed Scorpion, es una APT impulsada políticamente que surge principalmente en el Medio Oriente. Con el spear-phishing como su principal arma, AridViper apuntó a establecimientos policiales, militares y educativos palestinos en el pasado.
Lea también: EE. UU. incautó $ 34 millones en criptomonedas de Dark Web
Ahora, vuelve a estar activo con una nueva campaña llamada Operación Barbie Barbuda, como lo señalaron los investigadores de Nocturnus de Cybereason. Según ellos, la campaña está cuidadosamente diseñada para apuntar a los funcionarios de los sectores de defensa, aplicación de la ley y servicios de emergencia de Israel.
Atraer con cuentas de bagre
Basado en la ingeniería social, comienza con una cuenta de redes sociales de Facebook falsa que se pone en contacto con el objetivo y lo atrae para que descargue aplicaciones de mensajes troyanos. Apareciendo como mujeres jóvenes, las cuentas de bagre convencerán al objetivo de pasar a WhatsApp y luego a un servicio de mensajería más “discreto”.
¡Y por último, le piden al objetivo que abra e instale un archivo .RAR malicioso atrayéndolo como un video sexual! Cuando lo hizo, esto abre Barb(ie) Downloader, una herramienta utilizada para instalar BarbWire Backdoor, que realiza varias comprobaciones e invita a otra herramienta maliciosa al dispositivo.
Antes de continuar, BarbWire Backdoor busca máquinas virtuales, sandboxes, herramientas antivirus, etc. e incluso recopila y envía detalles básicos como información del sistema operativo a los piratas informáticos C2. Este proceso pasa desapercibido en su mayoría, debido a sus altos niveles de ofuscación mediante el uso de cifrado fuerte, hash de API y protección de procesos.
Esta puerta trasera de malware es capaz de varias funciones de vigilancia como registro de teclas, captura de pantalla, escucha y grabación de audio. Además, es capaz de crear tareas programadas, cifrar contenido, descargar cargas útiles de malware adicionales y filtrar datos.
Los investigadores también detectaron otra variante llamada VolatileVenom, un malware de Android destinado a la vigilancia y el robo de los dispositivos Android del objetivo. Es capaz de grabar llamadas, usar el micrófono y las funciones de audio, leer mensajes y notificaciones de aplicaciones sociales como WhatsApp, Facebook, Telegram, Instagram, Skype, IMO y Viber.
Además, puede extraer registros de llamadas, verificar listas de contactos, robar mensajes SMS y archivos, usar la cámara para tomar fotos, alterar las conexiones WiFi y descargar los archivos deseados al dispositivo.
