Вредоносная кампания «Декстер из пустыни» угрожает Ближнему Востоку

В феврале 2024 года Экспертный центр безопасности Positive Technologies (PT ESC) выявил вредоносную кампанию, известную как «Декстер из пустыни». С начала сентября 2024 года данная кампания активно действует на Ближнем Востоке и в Северной Африке, используя социальные сети для распространения вредоносного ПО.
Методы злоумышленников
Злоумышленники прибегают к различным методам для привлечения жертв, среди которых:
- Создание фейковых новостных групп;
- Использование вводящей в заблуждение рекламы;
- Распространение ссылок на файлообменные сервисы и каналы Telegram.
По сути, такие ссылки ведут к модифицированной версии вредоносного ПО AsyncRAT, которая нацелена на определение криптовалютных кошельков и взаимодействие с Telegram-ботами.
Цепочка заражения
Процесс заражения жертв осуществляется в несколько этапов:
- Жертвы получают архив RAR через Telegram-канал или рекламные ссылки.
- Архив содержит файлы BAT или JavaScript, предназначенные для выполнения сценария PowerShell.
- Скрипт PowerShell завершает работу сетевых служб, предотвращая обнаружение вредоносного ПО.
- Скрипт перенаправляет папку запуска пользователя и собирает системную информацию, скриншоты.
Примечательно: комментарии в JavaScript написаны на арабском языке, что может говорить о происхождении злоумышленников.
Функционал вредоносного ПО
Активировавшись, вредоносное ПО использует:
- Visual Basic, пакетные сценарии и PowerShell;
- Модифицированный модуль IdSender для работы с браузерными расширениями;
- Автономный кейлоггер для записи нажатий клавиш.
Таким образом, у злоумышленников появляется возможность отслеживания активности жертв и контроля системы через Telegram.
Геополитическая подоплека
Кампания «Декстер из пустыни» затронула около 900 пользователей, включая обычных граждан и известных личностей. Стратегия злоумышленников базируется на использовании методов социальной инженерии, что делает их атаки особенно эффективными:
- Создание универсальной цепочки убийств;
- Адаптация к различным целевым аудиториям.
По мере усложнения ситуации на Ближнем Востоке и в Северной Африке мониторинг и исследование этой угрозы продолжает оставаться важнейшей задачей.
Заключение
Хотя инструменты, используемые Desert Dexter, могут не быть самыми совершенными, их комбинация позволяет эффективно внедряться в устройства жертв. Сложившаяся геополитическая обстановка лишь усиливает риск кибератак в регионе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



