Вредоносная кампания «Декстер из пустыни» угрожает Ближнему Востоку

Вредоносная кампания 171Декстер из пустыни187 угрожает Ближнему Востоку

В феврале 2024 года Экспертный центр безопасности Positive Technologies (PT ESC) выявил вредоносную кампанию, известную как «Декстер из пустыни». С начала сентября 2024 года данная кампания активно действует на Ближнем Востоке и в Северной Африке, используя социальные сети для распространения вредоносного ПО.

Методы злоумышленников

Злоумышленники прибегают к различным методам для привлечения жертв, среди которых:

  • Создание фейковых новостных групп;
  • Использование вводящей в заблуждение рекламы;
  • Распространение ссылок на файлообменные сервисы и каналы Telegram.

По сути, такие ссылки ведут к модифицированной версии вредоносного ПО AsyncRAT, которая нацелена на определение криптовалютных кошельков и взаимодействие с Telegram-ботами.

Цепочка заражения

Процесс заражения жертв осуществляется в несколько этапов:

  1. Жертвы получают архив RAR через Telegram-канал или рекламные ссылки.
  2. Архив содержит файлы BAT или JavaScript, предназначенные для выполнения сценария PowerShell.
  3. Скрипт PowerShell завершает работу сетевых служб, предотвращая обнаружение вредоносного ПО.
  4. Скрипт перенаправляет папку запуска пользователя и собирает системную информацию, скриншоты.

Примечательно: комментарии в JavaScript написаны на арабском языке, что может говорить о происхождении злоумышленников.

Функционал вредоносного ПО

Активировавшись, вредоносное ПО использует:

  • Visual Basic, пакетные сценарии и PowerShell;
  • Модифицированный модуль IdSender для работы с браузерными расширениями;
  • Автономный кейлоггер для записи нажатий клавиш.

Таким образом, у злоумышленников появляется возможность отслеживания активности жертв и контроля системы через Telegram.

Геополитическая подоплека

Кампания «Декстер из пустыни» затронула около 900 пользователей, включая обычных граждан и известных личностей. Стратегия злоумышленников базируется на использовании методов социальной инженерии, что делает их атаки особенно эффективными:

  • Создание универсальной цепочки убийств;
  • Адаптация к различным целевым аудиториям.

По мере усложнения ситуации на Ближнем Востоке и в Северной Африке мониторинг и исследование этой угрозы продолжает оставаться важнейшей задачей.

Заключение

Хотя инструменты, используемые Desert Dexter, могут не быть самыми совершенными, их комбинация позволяет эффективно внедряться в устройства жертв. Сложившаяся геополитическая обстановка лишь усиливает риск кибератак в регионе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: