sexta-feira, 12 de abril de 2024

Hackers atacam ativistas de direitos humanos em Marrocos e no Sahara Ocidental


 Imagem de Satheesh Sankaran em Pixabay


The Hacker News - 09 de abril de 2024 | Os activistas dos direitos humanos em Marrocos e na região do Sahara Ocidental são o alvo de um novo agente de ameaças que aproveita os ataques de phishing para induzir as vítimas a instalar falsas aplicações Android e a fornecer páginas de recolha de credenciais para os utilizadores do Windows.

Cisco Talos está rastreando o grupo de atividades sob o nome Starry Addax, descrevendo-o como vocacionado principalmente para atacar ativistas associados à República Árabe Saharaui Democrática (RASD).

A infraestrutura do Starry Addax (ondroid[.]site e ondroid[.]store) foi concebida para visar tanto os utilizadores do Android como os do Windows; esta última envolve sites falsos disfarçados de páginas de login de sites populares de redes sociais.

À luz da investigação ativa sobre a campanha, a Talos disse que não pode revelar publicamente quais os sites que estão a ser alvo de ataques de recolha de credenciais.

"No entanto, os agentes da ameaça estão a criar a sua própria infraestrutura e a alojar páginas de recolha de credenciais, tais como páginas de login falsas para meios de comunicação social populares e serviços de e-mail em todo o mundo", disse a empresa ao The Hacker News.

O adversário, que se acredita estar ativo desde janeiro de 2024, é conhecido por enviar e-mails de phishing aos seus alvos, instando os destinatários a instalar a aplicação móvel Sahara Press Service ou uma isca relevante relacionada com a região.

Dependendo do sistema operativo a partir do qual o pedido é originado, o alvo recebe um APK malicioso disfarçado de Sahara Press Service ou é redireccionado para uma página de login de uma rede social para recolher as suas credenciais.

O novo malware para Android, denominado FlexStarling, é versátil e está equipado para fornecer componentes de malware adicionais e roubar informações sensíveis dos dispositivos infectados.

Uma vez instalado, pede à vítima que conceda permissões extensas que permitem ao malware realizar acções nefastas, incluindo a obtenção de comandos a executar a partir de um comando e controlo (C2) baseado na Firebase, um sinal de que o agente da ameaça está a tentar passar despercebido.


Sem comentários:

Enviar um comentário