Framstående personer från den israeliska regeringen utsätts för sociala ingenjörsattacker som syftar till att stjäla känslig data från deras enheter.
Forskare vid Cybereason noterade detta som “Operation Bearded Barbie”, som drivs av AridViper, en APT som huvudsakligen är verksam i Mellanöstern. Denna kampanj lockar mål med falska sociala mediekonton och installerar spionprogramverktyg på deras enheter för att sniffa och exfiltrera viktig data.
Operation Skäggig Barbie riktar sig mot israeliska tjänstemän
AridViper, även Desert Falcon, APT-C-23, eller Two-tailed Scorpion, är en politiskt styrd APT som mestadels ses stiga från Mellanöstern. Med spjutfiske som sitt främsta vapen, riktade AridViper sig tidigare mot palestinska brottsbekämpande myndigheter, militärer och utbildningsinrättningar.
Läs också – USA beslagtog 34 miljoner dollar värd kryptovaluta från Dark Web
Nu är den aktiv igen med en ny kampanj som heter Operation Bearded Barbie, som noterats av Cybereasons Nocturnus-forskare. Enligt dem är kampanjen noggrant utformad för att rikta in sig på tjänstemän från Israels försvars-, brottsbekämpande- och räddningstjänstsektorer.
Lura med havskattkonton
Baserat på social ingenjörskonst börjar det med att ett falskt Facebook-konto på sociala medier kontaktar målet och lockar dem att ladda ner trojaniserade meddelandeappar. När de framträder som unga kvinnor kommer catfish-kontona sedan att övertyga målet att gå över till WhatsApp och sedan till en mer “diskret” meddelandetjänst.
Och till sist ber de målet att öppna och installera ett skadligt .RAR-arkiv som lockar det som en sexuell video! När det gjordes, öppnar detta Barb(ie) Downloader ett verktyg som används för att installera BarbWire Backdoor, som utför flera kontroller och bjuder in ännu ett skadligt verktyg till enheten.
Innan du fortsätter söker BarbWire Backdoor efter virtuella datorer, sandlådor, antivirusverktyg, etc, och samlar till och med in och skickar grundläggande detaljer som OS-information till hackare C2. Denna process förblir mestadels oupptäckt, på grund av dess höga nivåer av fördunkling genom att använda stark kryptering, API-hashning och processskydd.
Denna bakdörr för skadlig programvara kan utföra olika övervakningsfunktioner som tangentloggning, skärmdumpning, ljudavlyssning och inspelning. Dessutom kan den skapa schemalagda uppgifter, kryptera innehåll, ladda ner ytterligare skadlig programvara och exfiltrera data.
Forskare upptäckte också en annan variant som heter VolatileVenom – en skadlig programvara för Android som syftar till övervakning och stöld från målets Android-enheter. Den kan spela in samtal, använda mikrofon- och ljudfunktioner, läsa meddelanden och aviseringar från sociala appar som WhatsApp, Facebook, Telegram, Instagram, Skype, IMO och Viber.
Den kan också extrahera samtalsloggar, kontrollera kontaktlistor, stjäla SMS-meddelanden och filer, använda kameran för att ta bilder, ändra WiFi-anslutningar och ladda ner önskade filer till enheten.