Framstående individer i den israeliska regeringen är måltavla för sociala ingenjörsattacker som syftar till att stjäla känslig data från deras enheter.
Cybereason-forskare noterade detta som “Operation Bearded Barbie”, ledd av AridViper, en APT som huvudsakligen är verksam i Mellanöstern. Denna kampanj lockar mål med falska sociala mediekonton och installerar spionprogramverktyg på deras enheter för att spåra och läcka viktig data.
Operation Bearded Barbie riktar sig till israeliska tjänstemän
AridViper, även Desert Falcon, APT-C-23, eller Two-tailed Scorpion, är en politiskt driven APT som uppstår främst i Mellanöstern. Med spjutfiske som sitt huvudsakliga vapen riktade AridViper sig tidigare mot palestinsk polis, militär och utbildningsinrättningar.
Läs också: USA beslagtog 34 miljoner dollar i Dark Web-kryptovalutor
Nu är den aktiv igen med en ny kampanj som heter Operation Bearded Barbie, som noterats av Cybereasons Nocturnus-forskare. Enligt dem är kampanjen noggrant utformad för att rikta in sig på tjänstemän inom Israels försvars-, brottsbekämpande- och räddningstjänstsektorer.
Locka med havskattpärlor
Baserat på social ingenjörskonst börjar det med ett falskt Facebook-konto på sociala medier som kontaktar målet och lockar dem att ladda ner trojanska meddelandeappar. När de framträder som unga kvinnor kommer catfish-kontona att övertyga målet att flytta till WhatsApp och sedan till en mer “diskret” meddelandetjänst.
Och slutligen ber de målet att öppna och installera en skadlig .RAR-fil genom att locka den som ett sexband! När det är klart öppnas Barb(ie) Downloader, ett verktyg som används för att installera BarbWire Backdoor, som utför flera kontroller och bjuder in ett annat skadligt verktyg till enheten.
Innan du fortsätter skannar BarbWire Backdoor efter virtuella maskiner, sandlådor, antivirusverktyg etc. och till och med samlar in och skickar grundläggande detaljer som operativsysteminformation till C2-hackare. Denna process går för det mesta obemärkt förbi på grund av dess höga nivåer av fördunkling genom användning av stark kryptering, API-hashning och processskydd.
Denna bakdörr för skadlig programvara kan utföra olika övervakningsfunktioner som tangentloggning, skärmdump, lyssnande och ljudinspelning. Dessutom kan den skapa schemalagda uppgifter, kryptera innehåll, ladda ner ytterligare skadlig programvara och exfiltrera data.
Forskare upptäckte också en annan variant som heter VolatileVenom, en Android-skadlig kod avsedd för övervakning och stöld av mål-Android-enheter. Den kan spela in samtal, använda mikrofon och ljudfunktioner, läsa meddelanden och aviseringar från sociala applikationer som t.ex. WhatsApp, FacebookTelegram, Instagram, Skype, IMO och Viber.
Dessutom kan du extrahera samtalsloggar, kontrollera kontaktlistor, stjäla SMS-meddelanden och filer, använda kameran för att ta bilder, manipulera WiFi-anslutningar och ladda ner önskade filer till enheten.
