MÜNCHEN (IT BOLTWISE) – Eine neue Cyberkampagne hat die Region Naher Osten und Nordafrika ins Visier genommen und nutzt soziale Medien, um modifizierte Malware zu verbreiten.
Seit September 2024 wird die Region Naher Osten und Nordafrika von einer neuen Cyberkampagne heimgesucht, die eine modifizierte Version der bekannten Malware AsyncRAT verbreitet. Diese Kampagne nutzt soziale Medien, um Malware zu verteilen, und steht im Zusammenhang mit der aktuellen geopolitischen Lage in der Region, wie Forscher von Positive Technologies berichten. Die Angreifer hosten die Malware in legitimen Online-Dateifreigabekonten oder speziell eingerichteten Telegram-Kanälen.
Die Kampagne, die etwa 900 Opfer seit Herbst 2024 gefordert hat, zeigt ihre weitreichende Natur. Die meisten Opfer befinden sich in Libyen, Saudi-Arabien, Ägypten, der Türkei, den Vereinigten Arabischen Emiraten, Katar und Tunesien. Die Aktivitäten werden einem Bedrohungsakteur namens Desert Dexter zugeschrieben, der im Februar 2025 entdeckt wurde. Die Angreifer erstellen temporäre Konten und Nachrichtenkanäle auf Facebook, um Anzeigen zu veröffentlichen, die Links zu einem Dateifreigabedienst oder einem Telegram-Kanal enthalten.
Diese Links führen die Nutzer zu einer Version der AsyncRAT-Malware, die um einen Offline-Keylogger erweitert wurde, nach 16 verschiedenen Kryptowährungs-Wallet-Erweiterungen und -Anwendungen sucht und mit einem Telegram-Bot kommuniziert. Die Angriffskette beginnt mit einem RAR-Archiv, das entweder ein Batch-Skript oder eine JavaScript-Datei enthält, die so programmiert sind, dass sie ein PowerShell-Skript ausführen, das für die Auslösung der zweiten Angriffsphase verantwortlich ist.
Insbesondere beendet es Prozesse, die mit verschiedenen .NET-Diensten verbunden sind, die das Starten der Malware verhindern könnten, löscht Dateien mit den Erweiterungen BAT, PS1 und VBS aus den Ordnern “C:\ProgramData\WindowsHost” und “C:\Users\Public” und erstellt eine neue VBS-Datei in C:\ProgramData\WindowsHost sowie BAT- und PS1-Dateien in C:\Users\Public. Das Skript stellt dann die Persistenz im System her, sammelt und exfiltriert Systeminformationen an einen Telegram-Bot, macht einen Screenshot und startet schließlich die AsyncRAT-Nutzlast, indem es sie in die ausführbare Datei “aspnet_compiler.exe” injiziert.
Es ist derzeit nicht bekannt, wer hinter der Kampagne steckt, obwohl arabische Kommentare in der JavaScript-Datei auf ihre mögliche Herkunft hinweisen. Weitere Analysen der an den Telegram-Bot gesendeten Nachrichten haben Screenshots des Desktops des Angreifers mit dem Namen “DEXTERMSI” enthüllt, auf dem das PowerShell-Skript sowie ein Tool namens Luminosity Link RAT zu sehen sind. Auch im Telegram-Bot ist ein Link zu einem Telegram-Kanal namens “dexterlyly” vorhanden, was darauf hindeutet, dass der Bedrohungsakteur aus Libyen stammen könnte. Der Kanal wurde am 5. Oktober 2024 erstellt.
Die Mehrheit der Opfer sind gewöhnliche Nutzer, darunter Mitarbeiter in den Bereichen Ölproduktion, Bauwesen, Informationstechnologie und Landwirtschaft. Die von Desert Dexter verwendeten Werkzeuge sind nicht besonders raffiniert. Dennoch hat die Kombination aus Facebook-Anzeigen mit legitimen Diensten und Verweisen auf die geopolitische Situation zur Infektion zahlreicher Geräte geführt.
Diese Entwicklung erfolgt, während QiAnXin Details zu einer Spear-Phishing-Kampagne namens Operation Sea Elephant enthüllt hat, die wissenschaftliche Forschungseinrichtungen in China ins Visier nimmt, um eine Hintertür zu liefern, die in der Lage ist, sensible Informationen im Zusammenhang mit Meereswissenschaften und -technologien zu sammeln. Diese Aktivitäten werden einem Cluster namens UTG-Q-011 zugeschrieben, das, wie es heißt, ein Teil eines anderen feindlichen Kollektivs namens CNC-Gruppe ist, das taktische Überschneidungen mit Patchwork aufweist, einem Bedrohungsakteur, der verdächtigt wird, aus Indien zu stammen.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Werkstudent Softwareentwicklung - Künstliche Intelligenz (m/w/d)
KI Consultant (m/w/d)
W2-Professur im Bereich Angewandte KI mit Schwerpunkt Medizin/Pharmazie
Senior Software Engineer - Data & AI (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Desert Dexter: Cyberangriffe auf den Nahen Osten und Nordafrika" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Desert Dexter: Cyberangriffe auf den Nahen Osten und Nordafrika" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Desert Dexter: Cyberangriffe auf den Nahen Osten und Nordafrika« bei Google Deutschland suchen und bei Google News recherchieren!