Stealth Soldier Malware
\
A comunidade de segurança cibernética descobriu recentemente um backdoor personalizado recém-identificado chamado Stealth Soldier, que foi utilizado em uma série de campanhas de espionagem sofisticadas e especificamente direcionadas no norte da África.
O Stealth Soldier é um malware backdoor não documentado que exibe uma variedade de recursos de vigilância, com o objetivo de coletar informações confidenciais de sistemas comprometidos. Ele realiza várias funções de vigilância, como extrair arquivos do dispositivo infectado, gravar atividades na tela e no microfone, registrar as teclas digitadas e roubar dados relacionados à navegação.
Um aspecto notável dessa operação de ataque é o uso de servidores de Comando e Controle (C&C) que imitam sites associados ao Ministério de Relações Exteriores da Líbia. Ao imitar esses sites legítimos, os invasores criam um ambiente enganoso que auxilia na execução de suas atividades maliciosas. Os vestígios iniciais desta campanha do Stealth Soldier podem ser rastreados até outubro de 2022, indicando que os atacantes estão operando ativamente por um período considerável.
Os Operadores do Stealth Soldier Malware Usam Táticas de Engenharia Social
A campanha de ataque começa com alvos em potencial sendo induzidos a baixar binários de downloaders maliciosos por meio de táticas de engenharia social. Esses binários enganosos servem como um meio de entregar o malware Stealth Soldier, ao mesmo tempo em que exibem um arquivo PDF aparentemente inofensivo para distrair as vítimas.
Depois que o malware Stealth Soldier é implantado com sucesso, seu implante modular personalizado torna-se ativo. Este implante, que se acredita ser usado com moderação para evitar a detecção, equipa o malware com uma variedade de recursos de vigilância. Ele reúne listas de diretórios e credenciais do navegador, registra as teclas digitadas, grava o áudio do microfone do dispositivo, captura capturas de tela, carrega arquivos e executa comandos do PowerShell.
O malware emprega diferentes tipos de comandos. Alguns comandos são plug-ins baixados do servidor Command-and-Control (C&C), enquanto outros são módulos incorporados ao próprio malware. Essa abordagem modular permite flexibilidade e adaptabilidade na funcionalidade do malware. Também indica que os operadores mantêm e atualizam ativamente o malware, conforme evidenciado pela descoberta de três versões distintas do Stealth Soldier.
Embora alguns dos componentes do Stealth Soldier não estejam mais acessíveis, a análise revelou que certas funcionalidades, como captura de tela e roubo de credenciais do navegador, foram inspiradas em projetos de código aberto disponíveis no GitHub. Isso sugere que os agentes de ameaças por trás do Stealth Soldier se inspiraram nas ferramentas existentes e as incorporaram em seu malware personalizado para aprimorar seus recursos e eficácia.
Semelhanças com Outras Operações de Malware Registradas Anteriormente
Além disso, descobriu-se que a infraestrutura utilizada pelo Stealth Soldier compartilha semelhanças com a infraestrutura ligada a uma campanha de phishing anterior conhecida como Eye on the Nile. A campanha Eye on the Nile teve como alvo jornalistas egípcios e ativistas de direitos humanos em 2019.
Esse desenvolvimento indica o possível ressurgimento do agente da ameaça responsável por ambas as campanhas. Isso sugere que o grupo está especificamente focado na condução de atividades de vigilância visando indivíduos no Egito e na Líbia.
Considerando a natureza modular do malware e a utilização de vários estágios de infecção, é altamente provável que os invasores continuem a adaptar suas táticas e técnicas. Essa adaptabilidade implica que o agente da ameaça provavelmente lançará versões atualizadas do malware em um futuro próximo, possivelmente introduzindo novas funcionalidades e manobras evasivas para promover seus objetivos de vigilância.
