Adathalász támadás célozza meg a nyugat-szaharai emberi jogi aktivistákat

A Cisco Talos azonosított egy új kiberfenyegető szereplőt, a Starry Addaxot, amely marokkói és nyugat-szaharai emberi jogi aktivistákat vesz célba. Ez a csoport adathalász-támadásokat folytat, megtévesztve az áldozatokat, hogy csalárd Android-alkalmazásokat telepítsenek, vagy a Windows-felhasználókat hitelesítő adatokat gyűjtő oldalakra irányítsák. A Starry Addax, amely 2024 januárja óta aktív, kifejezetten a Szaharai Arab Demokratikus Köztársasággal (SADR) kapcsolatban álló személyeket célozza meg, és olyan infrastruktúrát használ, amely mind az Android, mind a Windows operációs rendszereket veszélyezteti. Az Android-felhasználók számára a fenyegetés egy FlexStarling nevű rosszindulatú alkalmazást foglal magában, amely képes érzékeny információk ellopására és további rosszindulatú programok terjesztésére. A Windows-felhasználókat viszont a rendszer a hitelesítő adatok begyűjtésére szolgáló hamis közösségi média bejelentkezési oldalakra irányítja át.

A FlexStarling malware kifinomultsága és sokoldalúsága miatt figyelemre méltó, mivel telepítéskor széleskörű engedélyeket kér különböző rosszindulatú tevékenységek elvégzéséhez, beleértve a parancsok fogadását egy Firebase-alapú parancs- és vezérlőrendszertől (C2). Ez azt jelzi, hogy a Starry Addax megpróbálja megőrizni alacsony profilját, ami arra utal, hogy kampányaik célja, hogy csendben, hosszabb ideig fennmaradjanak a fertőzött eszközökön. Úgy tűnik, hogy az egész művelet, a rosszindulatú szoftver összetevőitől az operatív infrastruktúráig, egyedi tervezésű, a lopakodásra és a felderítés elkerülésére helyezi a hangsúlyt. Ez a fejlemény az Oxycorat, egy új, kereskedelmi forgalomban kapható Android távoli hozzáférési trójai (RAT) megjelenésével párhuzamosan zajlik, ami rávilágít a kiberfenyegetések növekvő tendenciájára, amely a célzottabb és lopakodóbb, konkrét személyek és csoportok ellen irányuló műveletek irányába mutat.

(forrás)

(forrás)