Il malware di spionaggio Stealth Soldier colpisce in Nord Africa

Un nuovo backdoor personalizzato, chiamato Stealth Soldier, è stato utilizzato come parte di un insieme di attacchi altamente mirati di spionaggio in Nord Africa. Check Point, un'azienda di sicurezza informatica, ha dichiarato in un rapporto tecnico che il malware Stealth Soldier è un backdoor non documentato che opera principalmente su funzioni di sorveglianza, come l'estrazione di file, la registrazione dello schermo e del microfono, la registrazione dei tasti premuti e il furto di informazioni dal browser.

L'operazione in corso è caratterizzata dall'uso di server di comando e controllo (C&C) che simulano siti appartenenti al Ministero degli Affari Esteri della Libia. Gli artefatti associati alla campagna risalgono almeno a ottobre 2022. Gli attacchi iniziano con il download di falsi download binari che vengono consegnati attraverso attacchi di ingegneria sociale e agiscono come conducente per il recupero di Stealth Soldier, contemporaneamente mostrando un finto file PDF vuoto.

L'impianto modulare personalizzato, che si presume essere utilizzato con parsimonia, consente le capacità di sorveglianza raccogliendo elenchi di directory e credenziali del browser, registrando tasti premuti, registrando audio del microfono, acquisendo schermate, caricando file ed eseguendo comandi PowerShell. "Il malware utilizza diversi tipi di comandi: alcuni sono plugin che vengono scaricati dal C&C e alcuni sono moduli all'interno del malware", ha dichiarato Check Point, aggiungendo che la scopertadi tre versioni di Stealth Soldier indica che viene attivamente mantenuto dagli operatori.

Alcuni dei componenti non sono più disponibili per il recupero, ma i plugin per la cattura dello schermo e per il furto delle credenziali del browser sarebbero stati ispirati da progetti open source disponibili su GitHub. Inoltre, l'infrastruttura di Stealth Soldier presenta sovrapposizioni con un'altra campagna di phishing denominata Eye on the Nile, che ha preso di mira giornalisti ed attivisti per i diritti umani egiziani nel 2019.

Il fatto rappresenta il "primo possibile riapparizione di questo attore minaccia" dal quel periodo, indicando che il gruppo è orientato alla sorveglianza di obiettivi libici ed egiziani. "Dati i moduli del malware e l'uso di diverse fasi di infezione, è probabile che gli attaccanti continueranno ad evolvere le loro tattiche e tecniche e a distribuire nuove versioni di questo malware nel prossimo futuro", ha affermato Check Point.

Attacchi di spionaggio altamente mirati utilizzando un backdoor personalizzato

Un nuovo backdoor personalizzato chiamato Stealth Soldier è stato impiegato in modo circoscritto in una campagna di spionaggio altamente mirata in Nord Africa, secondo Check Point. Il malware utilizza capacità di sorveglianza come la registrazione audio e video, la registrazione di tasti premuti, la raccolta di informazioni dal browser e l'esfiltrazione di file. Gli attacchi iniziano con il download di falsi download binari consegnati attraverso attacchi di ingegneria sociale. L'impiantomodulare personalizzato è utilizzato con parsimonia e consente di acquisire credenziali del browser, eseguire comandi PowerShell, caricare file e acquisire schermate. L'infrastruttura di Stealth Soldier presenta sovrapposizioni con una precedente campagna di phishing che ha preso di mira giornalisti ed attivisti per i diritti umani egiziani nel 2019, indicando che il gruppo è orientato alla sorveglianza di obiettivi libici ed egiziani.

Il malware utilizza diverse versioni ed è in costante evoluzione

Stealth Soldier è un backdoor personalizzato che viene attivamente mantenuto dagli operatori e si evolve costantemente. Il malware utilizza diversi tipi di comandi, alcuni dei quali sono plugin che vengono scaricati dal C&C, mentre altri sono moduli all'interno del malware stesso. Check Point ha scoperto tre versioni di Stealth Soldier e ha ipotizzato che gli attaccanti continueranno ad evolvere le loro tecniche e tattiche, distribuendo nuove versioni di questo malware nel prossimo futuro.

La campagna di spionaggio è caratterizzata dall'uso di server di comando e controllo (C&C) che simulano siti appartenenti al Ministero degli Affari Esteri della Libia. Gli attacchi iniziano con il download di falsi download binari consegnati attraverso attacchi di ingegneria sociale e agiscono come conducente per il recupero di Stealth Soldier, contemporaneamente mostrando un finto file PDF vuoto. L'uso di diverse fasi di infezione dimostra la capacità di adattamento degli attaccanti e indica che gli obiettivi sono altamente mirati.

Il malware di Stealth Soldier rappresenta una minaccia alla sicurezza informatica

Stealth Soldier rappresenta una minaccia alla sicurezza informatica in quanto viene utilizzato come parte di una campagna di spionaggio altamente mirata in Nord Africa. Il malware utilizza tecnologie di sorveglianza avanzate per raccogliere informazioni sensitve come la registrazione dello schermo e del microfono, la registrazione dei tasti premuti e il furto di informazioni dal browser, mettendo a rischio la privacy e la sicurezza degli utenti. L'uso di server di comando e controllo che simulano siti appartenenti al Ministero degli Affari Esteri della Libia dimostra l'abilità degli attaccanti di mascherare le loro azioni e rendere difficile la loro identificazione. Gli utenti sono invitati ad adottare misure di sicurezza aggiuntive per proteggere i propri dispositivi e i dati personali.