Se ha observado que un grupo hacktivista pro-Hamás utiliza un nuevo malware de limpieza basado en Linux denominado BiBi-Linux Wiper, dirigido a entidades israelíes en medio de la actual guerra entre Israel y Hamás.
«Este malware es un ejecutable ELF x64, que carece de ofuscación o medidas de protección», afirmó Security Joes en un nuevo informe publicado hoy. «Permite a los atacantes especificar carpetas de destino y potencialmente puede destruir un sistema operativo completo si se ejecuta con permisos de root».
Algunas de sus otras capacidades incluyen subprocesos múltiples para dañar archivos simultáneamente para mejorar su velocidad y alcance, sobrescribir archivos y renombrarlos con una extensión que contiene la cadena codificada «BiBi» (en el formato «[NOMBRE_ALEATORIO].BiBi[NÚMERO]») y excluir ciertos tipos de archivos para que no se dañen.
«Si bien la cadena ‘bibi’ (en el nombre del archivo) puede parecer aleatoria, tiene un significado significativo cuando se mezcla con temas como la política en el Medio Oriente, ya que es un apodo común utilizado para el Primer Ministro israelí, Benjamín Netanyahu», añadió la empresa de ciberseguridad.
El malware destructivo, codificado en C/C++ y con un tamaño de archivo de 1,2 MB, permite al actor de la amenaza especificar carpetas de destino mediante parámetros de línea de comandos, optando de forma predeterminada por el directorio raíz («/») si no se proporciona ninguna ruta. Sin embargo, realizar la acción en este nivel requiere permisos de root.
Nagios es un poderoso sistema de monitoreo de infraestructuras TI que permite a las
organizaciones identificar y resolver problemas antes de que afecten los procesos comerciales críticos.Conocer..
Otro aspecto notable de BiBi-Linux Wiper es el uso del comando nohup durante la ejecución para ejecutarlo sin obstáculos en segundo plano. Algunos de los tipos de archivos que no se sobrescriben son aquellos con las extensiones .out o .so.
«Esto se debe a que la amenaza depende de archivos como bibi-linux.out y nohup.out para su funcionamiento, junto con bibliotecas compartidas esenciales para el sistema operativo Unix/Linux (archivos .so)», dijo la compañía.
El desarrollo se produce cuando Sekoia reveló que el presunto actor de amenazas afiliado a Hamas conocido como Arid Viper (también conocido como APT-C-23, Desert Falcon, Gaza Cyber Gang y Molerats) probablemente esté organizado como dos subgrupos y cada grupo se centra en actividades de ciberespionaje contra Israel y Palestina, respectivamente.
«Apuntar a individuos es una práctica común de Arid Viper», dijeron los investigadores de SentinelOne Tom Hegel y Aleksandar Milenkoski en un análisis publicado la semana pasada.
«Esto incluye objetivos palestinos e israelíes preseleccionados de alto perfil, así como grupos más amplios, típicamente de sectores críticos como organizaciones gubernamentales y de defensa, fuerzas del orden y partidos o movimientos políticos».
Las cadenas de ataques orquestadas por el grupo incluyen ataques de ingeniería social y phishing como vectores de intrusión iniciales para implementar una amplia variedad de malware personalizado para espiar a sus víctimas. Esto incluye Micropsia, PyMicropsia, Arid Gopher y BarbWire, y una nueva puerta trasera indocumentada llamada Rusty Viper que está escrita en Rust.
«En conjunto, el arsenal de Arid Viper proporciona diversas capacidades de espionaje, como grabar audio con el micrófono, detectar unidades flash insertadas y extraer archivos de ellas, y robar credenciales guardadas del navegador, por nombrar sólo algunas», señaló ESET a principios de este mes .
Fuente: thehackernews
