Barbie barbu hackers poisson-chat de hauts responsables israéliens

Le groupe de piratage soutenu par le Hamas, suivi sous le nom de « APT-C-23 », a été découvert en train de pêcher des fonctionnaires israéliens travaillant dans la défense, la loi, l’application et les agences gouvernementales, ce qui a finalement conduit au déploiement de nouveaux logiciels malveillants.

La campagne implique des astuces d’ingénierie sociale de haut niveau telles que la création de faux profils de médias sociaux et un engagement à long terme avec les cibles avant de diffuser des logiciels espions.

Selon les analystes de Cyberaisonqui a nommé cette nouvelle campagne « Operation Bearded Barbie », APT-C-23 déploie également de nouvelles portes dérobées personnalisées pour les appareils Windows et Android orientés vers l’espionnage.

Faux profils Facebook

Les acteurs de la menace ont créé plusieurs faux profils Facebook en utilisant des identités fabriquées et des images volées ou générées par l’IA de femmes attirantes et approchent les cibles à travers ces profils.

Faux personnage utilisé pour cibler des hauts fonctionnaires *(Cyberaison)*

Pour les faire paraître authentiques, les opérateurs ont conservé ces profils pendant des mois, en les publiant en hébreu et en aimant les groupes et les pages populaires en Israël.

Les opérateurs de ces profils construisent tout un réseau d’amis qui sont, en réalité, des personnes ciblées travaillant dans la police, les forces de défense, les services d’urgence ou le gouvernement israéliens.

Après avoir gagné la confiance de la cible en interagissant avec elle pendant un moment, les adversaires proposent de migrer la conversation vers WhatsApp, soi-disant pour une meilleure confidentialité.

C’est à ce moment-là que la conversation prend une tournure érotique, les acteurs de la menace suggérant un autre pivot vers une application de messagerie instantanée Android soi-disant plus discrète, qui est en fait le malware VolatileVenom.

Simultanément, l’agent envoie un lien vers un fichier RAR qui contient prétendument une vidéo sexuelle, mais qui est en réalité un téléchargeur pour la porte dérobée BarbWire.

Chaîne d'infection Barbie barbu — Chaîne d’infection Barbie barbu *(Cyberaison)*

Logiciel espion Android actualisé

À partir de VolatileVenom, ce malware Android se déguise en application de messagerie, le plus souvent Wink Chat.

Les applications de messagerie utilisées pour déguiser VolatileVenom — Applications de messagerie utilisées pour déguiser VolatileVenom
*(Cyberaison)*

Cybereason précise que cette porte dérobée est utilisée par APT-C-23 depuis au moins avril 2020, mais qu’elle s’est depuis enrichie de fonctionnalités supplémentaires.

Lors du premier processus de lancement et d’inscription, l’application affiche une fausse erreur et déclare qu’elle se supprimera automatiquement de l’appareil.

Fausse erreur essayant de convaincre la victime que l'application sera supprimée — Fausse erreur essayant de convaincre la victime que l’application sera supprimée *(Cyberaison)*

En réalité, cependant, il continue de fonctionner en arrière-plan, remplissant les fonctions suivantes :

Voler des SMS
Lire les informations de la liste de contacts
Utilisez l’appareil photo de l’appareil pour prendre des photos
Voler des fichiers avec les extensions suivantes : pdf, doc, docs, ppt, pptx, xls, xlsx, txt, text
Steal images avec les extensions suivantes : jpg, jpeg, png
Enregistrement audio
Utilisez l’hameçonnage pour voler les informations d’identification d’applications populaires telles que Facebook et Twitter
Ignorer les notifications système
Obtenir les applications installées
Redémarrer le Wi-Fi
Enregistrer les appels / appels WhatsApp
Extraire les journaux d’appels
Télécharger des fichiers sur l’appareil infecté
Prendre des captures d’écran
Lire les notifications des applications suivantes : WhatsApp, Facebook, Telegram, Instagram, Skype, IMO, Viber
Ignore toutes les notifications générées par le système

Si l’appareil de la victime exécute Android 10 ou une version ultérieure, l’application utilisera une icône Google Play, Chrome ou Google Maps. Sur les versions antérieures d’Android, il masque complètement l’icône de son application.

Logiciels malveillants Barb(ie) et BarbWire

Dans le cadre des tentatives de pêche au poisson-chat, les acteurs de la menace enverront éventuellement à la cible un fichier RAR qui serait des photos ou des vidéos nues.

Cependant, ce fichier RAR contient le logiciel malveillant de téléchargement Barb(ie), qui conduit à l’installation de la porte dérobée BarbWire.

Un échantillon de Barb(ie) vu par Cybereason porte le nom de fichier « Windows Notifications » et, une fois lancé, effectuera des vérifications anti-analyse.

Ensuite, Barb(ie) se connecte aux serveurs de commande et de contrôle (C2) et envoie un profil d’ID système, tout en établissant également la persistance en créant deux tâches planifiées. Enfin, il télécharge et installe la porte dérobée BarbWire sur l’appareil.

Le flux d'exécution de Barbie — Flux d’exécution de Barb(ie) *(Cyberaison)*

BarbWire est une porte dérobée à part entière avec des fonctionnalités étendues telles que :

Persistance
Reconnaissance du système d’exploitation (nom d’utilisateur, architecture, version de Windows, produits AV installés)
Cryptage des données
Enregistrement de frappe
Capture d’écran
Enregistrement audio
Télécharger des logiciels malveillants supplémentaires
Lecteurs locaux/externes et énumération de répertoires
Voler des types de fichiers spécifiques et exfiltrer des données sous forme RAR

Requête WMI pour vérifier l'existence d'un logiciel AV — Requête WMI pour vérifier l’existence d’un logiciel AV *(Cyberaison)*

Cybereason a pu échantillonner au moins trois variantes différentes de BarbWire, ce qui indique son développement actif par le groupe APT-C-23.

Des campagnes évolutives

APT-C-23 utilise de nombreuses techniques que nous avons vues employées dans de nombreuses campagnes passées contre des cibles israéliennes, mais continue d’évoluer avec de nouveaux outils et des efforts d’ingénierie sociale plus complexes.

Un point de différenciation entre Operation Bearded Barbie et les campagnes précédentes est qu’il n’y a pas d’infrastructure qui se chevauche, ce qui montre l’intérêt du groupe à éviter la détection.

L’utilisation de deux portes dérobées, une pour Windows et une pour Android, est une autre escalade pour l’acteur de la menace, entraînant un espionnage très agressif pour les cibles compromises.

Barbie barbu hackers poisson-chat de hauts responsables israéliens

Faux profils Facebook

Logiciel espion Android actualisé

Logiciels malveillants Barb(ie) et BarbWire

Des campagnes évolutives

Vulnérabilité critique F5 BIG-IP ciblée par des attaques destructrices

Le centre de cybersécurité britannique a envoyé 33 millions d’alertes aux entreprises

GitHub annonce une expérience 2FA améliorée pour les comptes npm

Microsoft corrige le nouveau relais NTLM zero-day dans toutes les versions de Windows

Microsoft May 2022 Patch Tuesday corrige 3 zero-days et 75 failles

Le gouvernement britannique publie un outil gratuit pour vérifier les risques de cybersécurité des e-mails

Tim Cook fait allusion au nouveau Apple Pencil 3 qui arrivera le mois prochain – voici ce que disent les rumeurs

Le nouvel iPad Pro 11 pouces pourrait être limité en raison des expéditions d’écrans OLED

Un événement Apple approche : qu’est-ce qui vous donne le plus hâte de voir ?

Les AirPods Pro 2 débarquent à 150 $, l’Apple Watch SE 2 à partir de 189 $, les bracelets officiels, plus

Voici comment vérifier l’état de la batterie de l’iPad et quand devriez-vous envisager de la remplacer ?

Ubiquiti lance la nouvelle Dream Machine Pro Max pour servir de grands déploiements avec des milliers d’appareils

Raccourci iPhone pour activer/désactiver les services de localisation

Voyant vert clignotant sur votre étui Airpods ? Apprenez à résoudre

Les écouteurs antibruit causent-ils des maux de tête ?