DropBook Backdoor

DropBook Backdoor è una delle due minacce backdoor sfruttate dagli hacker di MoleRats APT (Advanced Persistent Threat) contro figure politiche di alto rango e funzionari governativi in Egitto, Territori palestinesi, Turchia e Emirati Arabi Uniti. Operativo almeno dal 2012, MoleRats ha mostrato un interesse duraturo nelle regioni del Medio Oriente e del Nord Africa. Gli hacker di solito distribuiscono e-mail di phishing che utilizzano documenti che discutono di eventi significativi nelle regioni selezionate come esca per indurre gli utenti a scaricare un file compromesso.

DropBook Backdoor è una minaccia basata su Python compilata con l'uso di PyInstaller. Quando è completamente distribuita, la minaccia può eseguire comandi arbitrari, recuperare e installare programmi aggiuntivi e payload minacciosi, eseguire comandi della shell forniti dagli hacker. Per confermare che sta infettando un bersaglio adatto, DropBook Backdoor esegue un controllo per la presenza della lingua araba sul computer infetto. Un altro parametro che può impedire l'avvio della backdoor è se rileva che non è installato WinRAR sulla destinazione. Tra i payload aggiuntivi rilasciati dalla backdoor DropBook, i ricercatori di infosec hanno rilevato il framework di accesso remoto Quasar RAT. Sebbene Quasar sia uno strumento minaccioso, offre ai criminali informatici un modo semplice per stabilire routine di keylogging, intercettazione e raccolta dei dati sul sistema infetto.

Gli hacker di MoleRats hanno incorporato la tendenza crescente tra gli attori delle minacce di utilizzare servizi cloud legittimi e piattaforme sociali come parte della struttura Command-and-Control (C2, C&C) delle loro creazioni di malware rapidamente. In effetti, DropBook utilizza falsi account Facebook o Simmplenote come canale di comunicazione con C2. Allo stesso tempo, sfrutta Dropbox come archivio per i dati dell'utente rubati e come servizio di hosting per i payload aggiuntivi di spionaggio.