Cisco Talos, la unidad de inteligencia de amenazas de la empresa de ciberseguridad Cisco, ha identificado al grupo detrás de estos ataques bajo el nombre «Starry Addax». Este grupo se dirige principalmente a activistas asociados con la República Árabe Saharaui Democrática (RASD).
Por Héctor Bujari Santorum | 30/07/2024
En un preocupante desarrollo, activistas de derechos humanos en Marruecos y la región del Sáhara Occidental han sido el blanco de un nuevo actor de amenazas. Utilizando ataques de phishing, los hackers están engañando a las víctimas para que instalen aplicaciones Android falsas y accedan a páginas de recolección de credenciales para usuarios de Windows.
Esos hackers son, aparentemente, funcionarios marroquíes afiliados al Majzén.
Cisco Talos, la unidad de inteligencia de amenazas de la empresa de ciberseguridad Cisco, ha identificado al grupo detrás de estos ataques bajo el nombre «Starry Addax». Este grupo se dirige principalmente a activistas asociados con la República Árabe Saharaui Democrática (RASD).
La infraestructura de Starry Addax, operada a través de los sitios ondroid[.]site y ondroid[.]store, está diseñada para atacar tanto a usuarios de Android como de Windows. Para los usuarios de Windows, se utilizan sitios web falsos que simulan ser páginas de inicio de sesión de redes sociales populares, con el fin de recolectar credenciales.
Desde enero de 2024, se ha observado que estos atacantes envían correos electrónicos de phishing a sus objetivos, incitándolos a instalar la aplicación móvil del Sahara Press Service o un señuelo relacionado con la región. Según el sistema operativo del dispositivo, la víctima recibe un archivo APK malicioso disfrazado de Sahara Press Service o es redirigida a una página de inicio de sesión de redes sociales para capturar sus credenciales.
El malware para Android, denominado «FlexStarling», es altamente versátil y está diseñado para instalar componentes adicionales de malware y robar información sensible de los dispositivos infectados. Una vez instalado, el malware solicita permisos extensivos que le permiten realizar acciones maliciosas, incluyendo la ejecución de comandos desde un sistema de comando y control basado en Firebase, lo que indica que los atacantes buscan operar sin ser detectados.
«Las campañas como esta, dirigidas a individuos de alto valor, usualmente intentan permanecer en silencio en el dispositivo durante un período prolongado», dijo Talos. «Todos los componentes, desde el malware hasta la infraestructura operativa, parecen estar hechos a medida para esta campaña específica, lo que indica un gran enfoque en el sigilo y la realización de actividades bajo el radar».
Este desarrollo se produce en medio de la aparición de un nuevo troyano de acceso remoto (RAT) comercial para Android conocido como «Oxycorat», que está disponible para la venta con diversas capacidades de recopilación de información.
Los últimos hallazgos sugieren que Starry Addax ha desarrollado su propio arsenal de herramientas e infraestructura para atacar a los activistas de derechos humanos, en lugar de depender de malware comercial o spyware disponible en el mercado. Según Talos, «Los ataques están en sus primeras etapas operativas. Sin embargo, la infraestructura de soporte y el malware, FlexStarling, han sido considerados suficientemente maduros por Starry Addax para comenzar a dirigirse a los activistas de derechos humanos en el norte de África».
«La línea de tiempo de los eventos, incluyendo el establecimiento de puntos de caída, C2s y la construcción de malware desde principios de enero de 2024, indica que Starry Addax está configurando rápidamente la infraestructura para atacar a individuos de alto valor y continuará ganando impulso».
https://thehackernews.com/2024/04/hackers-targeting-human-rights.html
Se el primero en comentar