Un acteur menaçant affilié à la division cyber-guerre du Hamas a été lié à une « campagne élaborée » ciblant des personnalités israéliennes de haut niveau employées dans des organisations sensibles de défense, d’application de la loi et de services d’urgence.
« Les opérateurs de la campagne utilisent des techniques d’ingénierie sociale sophistiquées, visant en fin de compte à fournir des portes dérobées auparavant non documentées pour les appareils Windows et Android », a déclaré la société de cybersécurité Cybereason. mentionné dans un rapport de mercredi.
« Le but de l’attaque était d’extraire des informations sensibles des appareils des victimes à des fins d’espionnage. »
Les intrusions de plusieurs mois, nom de code « Opération Barbie Barbu« , ont été attribués à un groupe arabophone et politiquement motivé appelé Arid Viper, qui opère depuis le Moyen-Orient et est également connu sous les surnoms APT-C-23 et Desert Falcon.
Plus récemment, l’acteur de la menace a été tenu responsable d’attaques visant des militants et des entités palestiniens à partir d’octobre 2021 environ en utilisant des e-mails de phishing à thème politique et des documents leurres.
Les dernières infiltrations se distinguent par leur concentration spécifique sur le pillage des informations des ordinateurs et des appareils mobiles appartenant à des individus israéliens en les incitant à télécharger des applications de messagerie trojanisées, accordant aux acteurs un accès sans entrave.
Les attaques d’ingénierie sociale impliquaient l’utilisation de faux personnages sur Facebook, s’appuyant sur la tactique du catfishing pour créer des profils fictifs de jeunes femmes attirantes afin de gagner la confiance des individus ciblés et de se lier d’amitié avec eux sur la plateforme.
« Après avoir gagné la confiance de la victime, l’opérateur du faux compte suggère de migrer la conversation de Facebook vers WhatsApp », ont expliqué les chercheurs. « Ce faisant, l’opérateur obtient rapidement le numéro de portable de la cible. »
Une fois que le chat passe de Facebook à WhatsApp, les attaquants suggèrent aux victimes d’installer une application de messagerie sécurisée pour Android (surnommée « VolatileVenom ») ainsi que d’ouvrir un fichier d’archive RAR contenant du contenu sexuel explicite qui conduit au déploiement d’un téléchargeur de logiciels malveillants. appelé Barb(ie).
Parmi les autres caractéristiques de la campagne, citons le groupe tirant parti d’un arsenal amélioré d’outils malveillants, y compris la porte dérobée BarbWire, qui est installée par le module de téléchargement.
Le logiciel malveillant sert d’outil pour compromettre complètement la machine victime, lui permettant d’établir la persistance, de récolter des informations stockées, d’enregistrer de l’audio, de capturer des captures d’écran et de télécharger des charges utiles supplémentaires, qui sont toutes retransmises à un serveur distant.
VolatileVenom, d’autre part, est un logiciel espion Android qui est connu pour usurper des applications de messagerie légitimes et se faire passer pour des mises à jour du système et qui a été utilisé dans différentes campagnes par Arid Viper depuis au moins 2017.
Un tel exemple d’application Android malveillante s’appelle « Wink Chat », où les victimes qui tentent de s’inscrire pour utiliser l’application reçoivent un message d’erreur indiquant « qu’elle sera désinstallée », uniquement pour qu’elle s’exécute furtivement en arrière-plan et extraie un grande variété de données provenant des appareils mobiles.
« Les attaquants utilisent une infrastructure complètement nouvelle qui est distincte de l’infrastructure connue utilisée pour cibler les Palestiniens et les autres arabophones », ont déclaré les chercheurs.
« Cette campagne montre une augmentation considérable des capacités d’APT-C-23, avec une furtivité améliorée, des logiciels malveillants plus sophistiqués et la perfection de leurs techniques d’ingénierie sociale qui impliquent des capacités offensives HUMINT utilisant un réseau très actif et bien entretenu de faux comptes Facebook. qui se sont avérés assez efficaces pour le groupe. »