Malware BiBi-Linux Wiper

Un gruppo di hacktivisti a sostegno di Hamas è stato identificato utilizzando un nuovo malware wiper basato su Linux chiamato BiBi-Linux Wiper. Questo software dannoso è specificamente rivolto alle organizzazioni israeliane durante il conflitto in corso tra Israele e Hamas.

BiBi-Linux Wiper è progettato come eseguibile ELF x64 e non utilizza misure di offuscamento o protezione. Questo malware consente agli aggressori di designare cartelle di destinazione e, se eseguito con permessi di root, ha il potenziale di rendere inutilizzabile un intero sistema operativo.

Altre funzionalità scoperte nel malware BiBi-Linux Wiper

Tra le sue varie funzionalità, il malware utilizza il multithreading per corrompere i file contemporaneamente, migliorando così la sua velocità e portata. A tale scopo, sovrascrive i file e rinominandoli con una stringa specifica codificata "BiBi" nel formato "[RANDOM_NAME].BiBi[NUMERO]". Inoltre, può escludere che determinati tipi di file vengano danneggiati.

Questo malware distruttivo, sviluppato utilizzando C/C++, ha una dimensione del file di 1,2 MB. Garantisce all'autore della minaccia la possibilità di specificare le cartelle di destinazione utilizzando i parametri della riga di comando, con la scelta predefinita che è la directory principale ('/') se non viene fornito alcun percorso specifico. Tuttavia, per eseguire azioni a questo livello sono necessari i permessi di root.

In particolare, BiBi-Linux Wiper utilizza il comando 'nohup' durante l'esecuzione per garantire che funzioni senza problemi in background. Alcuni tipi di file non possono essere sovrascritti, come quelli con estensione .out o .so. Questa eccezione è essenziale perché la minaccia si basa su file come bibi-linux.out e nohup.out per il suo funzionamento, oltre alle librerie condivise cruciali per il sistema operativo Unix/Linux (file .so).

Gli hacker stanno concentrando le loro attività su obiettivi di alto profilo in Medio Oriente

I ricercatori ritengono che il sospetto attore della minaccia affiliato ad Hamas, conosciuto con diversi nomi tra cui Arid Viper (noto anche come APT-C-23, Desert Falcon, Gaza Cyber Gang e Molerats), probabilmente operi come due sottogruppi distinti. Ciascuno di questi sottogruppi si concentra principalmente sulla conduzione di attività di spionaggio informatico contro Israele o Palestina.

L’Arid Viper si impegna comunemente nella pratica di prendere di mira individui, inclusi individui preselezionati di alto profilo provenienti sia da contesti palestinesi che israeliani. Prendono di mira anche gruppi più ampi, in particolare all’interno di settori critici come le organizzazioni governative e di difesa, le forze dell’ordine, nonché partiti e movimenti politici.

Per raggiungere i suoi obiettivi, l'Arid Viper impiega varie catene di attacco. Queste catene spesso iniziano con attacchi di ingegneria sociale e phishing come metodi di intrusione iniziali, consentendo loro di implementare un'ampia gamma di malware personalizzati progettati per spiare le loro vittime. Questo arsenale di malware garantisce all'autore della minaccia una serie diversificata di funzionalità di spionaggio, tra cui la registrazione audio tramite il microfono, la capacità di rilevare ed esfiltrare file dalle unità flash inserite e il furto delle credenziali del browser salvate.