Programari maliciós BiBi-Linux Wiper

S'ha identificat un grup hacktivista que recolza Hamas mitjançant un nou programari maliciós basat en Linux anomenat BiBi-Linux Wiper. Aquest programari maliciós està dirigit específicament a les organitzacions israelianes durant el conflicte en curs entre Israel i Hamàs.

El BiBi-Linux Wiper està dissenyat com un executable ELF x64 i no utilitza mesures d'ofuscament ni de protecció. Aquest programari maliciós permet als atacants designar carpetes de destinació i, si s'executa amb permisos d'arrel, té el potencial de deixar inoperable tot un sistema operatiu.

Altres funcionalitats descobertes al programari maliciós BiBi-Linux Wiper

Entre les seves diverses capacitats, el programari maliciós utilitza multithreading per corrompre fitxers simultàniament, millorant així la seva velocitat i abast. Per aconseguir-ho, sobreescriu els fitxers i els canvia el nom amb una cadena específica codificada en dur "BiBi" en el format "[RANDOM_NAME].BiBi[NUMBER]". A més, pot excloure que determinats tipus de fitxers siguin danyats.

Aquest programari maliciós destructiu, desenvolupat amb C/C++, té una mida de fitxer d'1,2 MB. Atorga a l'actor de l'amenaça la capacitat d'especificar carpetes de destinació mitjançant paràmetres de línia d'ordres, sent l'opció predeterminada el directori arrel ('/') si no es proporciona cap camí específic. Tanmateix, dur a terme accions en aquest nivell requereix permisos d'arrel.

En particular, BiBi-Linux Wiper utilitza l'ordre "nohup" durant l'execució per garantir que funcioni sense problemes en segon pla. Alguns tipus de fitxers estan exempts de sobreescriure's, com els que tenen les extensions .out o .so. Aquesta excepció és essencial perquè l'amenaça es basa en fitxers com bibi-linux.out i nohup.out per al seu funcionament, a més de biblioteques compartides crucials per al sistema operatiu Unix/Linux (fitxers .so).

Els pirates informàtics estan centrant les seves activitats en objectius d'alt perfil a l'Orient Mitjà

Els investigadors creuen que el presumpte actor d'amenaça afiliat a Hamàs, conegut per diversos noms, com ara l'Arid Viper (també conegut com APT-C-23, Desert Falcon, Gaza Cyber Gang i Molerats), probablement opera com a dos subgrups diferents. Cadascun d'aquests subgrups se centra principalment a dur a terme activitats d'espionatge cibernètic dirigides a Israel o Palestina.

L'Àrid Viper es dedica habitualment a la pràctica d'orientar-se a persones, incloses persones preseleccionades d'alt perfil tant d'origen palestí com israelià. També es dirigeixen a grups més amplis, especialment dins de sectors crítics com ara la defensa i les organitzacions governamentals, les forces de l'ordre, així com els partits i moviments polítics.

Per aconseguir els seus objectius, l'Àrid Viper utilitza diverses cadenes d'atac. Aquestes cadenes sovint comencen amb atacs d'enginyeria social i phishing com a mètodes d'intrusió inicials, cosa que els permet desplegar una àmplia gamma de programari maliciós personalitzat dissenyat per espiar les seves víctimes. Aquest arsenal de programari maliciós ofereix a l'actor de l'amenaça un conjunt divers de capacitats d'espionatge, inclosa la gravació d'àudio a través del micròfon, la capacitat de detectar i exfiltrar fitxers de les unitats flash inserides i el robatori de les credencials del navegador desades.