Prominente Vertreter der israelischen Regierung sind Ziel von Social-Engineering-Angriffen mit dem Ziel, vertrauliche Daten von ihren Geräten zu stehlen.
Forscher bei Cybereason bezeichneten dies als „Operation Bearded Barbie“, die von AridViper betrieben wird, einer APT, die vorwiegend im Nahen Osten aktiv ist. Diese Kampagne lockt Ziele mit gefälschten Social-Media-Konten an und installiert Spyware-Tools auf ihren Geräten, um wichtige Daten auszuspionieren und zu exfiltrieren.
Operation Bearded Barbie zielte auf israelische Beamte ab
AridViper, auch Desert Falcon, APT-C-23 oder Two-tailed Scorpion, ist ein politisch motivierter APT, der überwiegend aus dem Nahen Osten kommt. Mit Spear-Phishing als Hauptwaffe zielte AridViper in der Vergangenheit auf palästinensische Strafverfolgungs-, Militär- und Bildungseinrichtungen ab.
Lesen Sie auch – USA beschlagnahmten Kryptowährung im Wert von 34 Millionen Dollar aus dem Dark Web
Nun ist sie wieder aktiv, und zwar mit einer neuen Kampagne namens Operation Bearded Barbie, wie die Nocturnus-Forscher von Cybereason festgestellt haben. Ihnen zufolge ist die Kampagne sorgfältig darauf ausgelegt, Beamte aus den Bereichen Verteidigung, Strafverfolgung und Rettungsdienste Israels ins Visier zu nehmen.
Locken mit Catfish-Accounts
Basierend auf Social Engineering beginnt es damit, dass ein gefälschter Facebook-Social-Media-Account die Zielperson kontaktiert und sie dazu verleitet, mit Trojanern infizierte Messaging-Apps herunterzuladen. Die Catfish-Accounts geben sich als junge Frauen aus und überzeugen die Zielperson dann, zu WhatsApp und anschließend zu einem „diskreteren“ Messaging-Dienst zu wechseln.
Und schließlich bitten sie das Opfer, ein bösartiges RAR-Archiv zu öffnen und zu installieren, das als Sexvideo angepriesen wird. Dadurch wird Barb(ie) Downloader geöffnet, ein Tool zum Installieren der BarbWire-Hintertür, das mehrere Prüfungen durchführt und ein weiteres Schadtool in das Gerät einlädt.
Bevor der Vorgang fortgesetzt wird, sucht die BarbWire-Hintertür nach VMs, Sandboxen, Antiviren-Tools usw. und sammelt und sendet sogar grundlegende Details wie Betriebssysteminformationen an Hacker C2. Dieser Vorgang bleibt aufgrund seines hohen Maßes an Verschleierung durch starke Verschlüsselung, API-Hashing und Prozessschutz größtenteils unentdeckt.
Diese Malware-Hintertür kann verschiedene Überwachungsfunktionen ausführen, beispielsweise Keylogging, Bildschirmaufzeichnung, Abhören und Aufzeichnen von Audiodaten. Außerdem kann sie geplante Aufgaben erstellen, Inhalte verschlüsseln, zusätzliche Malware-Payloads herunterladen und Daten exfiltrieren.
Forscher entdeckten außerdem eine weitere Variante namens VolatileVenom – eine Android-Malware, die auf die Überwachung und den Diebstahl von Android-Geräten von Zielpersonen abzielt. Es ist in der Lage, Anrufe aufzuzeichnen, das Mikrofon und die Audiofunktionen zu verwenden, Nachrichten und Benachrichtigungen von sozialen Apps wie zu lesen WhatsApp, Facebook, Telegram, Instagram, Skype, IMO und Viber.
Darüber hinaus kann der Schädling Anrufprotokolle extrahieren, Kontaktlisten prüfen, SMS-Nachrichten und Dateien stehlen, mit der Kamera Fotos aufnehmen, WLAN-Verbindungen ändern und gewünschte Dateien auf das Gerät herunterladen.
