APT-C-23

APT-C-23 é o nome atribuído a um grupo de hackers de uma Ameaça Persistente  Avançada (APT). O mesmo grupo também é conhecido como Escorpião de Duas Caudas ou Escorpião do Deserto. Observou-se que os hackers realizaram várias campanhas ameaçadoras dirigidas contra usuários localizados no Oriente Médio. O APT-C-23 usa ferramentas do Windows e do Android em suas operações.

As atividades do grupo foram detalhadas pela primeira vez pelos pesquisadores da Qihoo 360 Technology em março de 2017. No mesmo ano, várias equipes de pesquisa da infosec começaram a detectar diferentes ferramentas de Trojan roubadores de informações que foram atribuídas ao APT-C-23:

  • Palo Alto Networks descreveu uma ameaça que eles chamaram de VAMP
  • A Lookout analisou um Trojan que chamou de FrozenCell
  • TrendMicro descobriu a ameaça GnatSpy

Em 2018, a Lookout conseguiu detectar uma das ferramentas de Trojan exclusivas do arsenal do APT-C-23, que eles chamaram de Desert Scorpion. A campanha envolvendo o Desert Scorpion teve como alvo mais de 100 alvos da Palestina. Os hackers conseguiram esconder sua ameaça de malware na Google Play Store oficial, mas contaram com várias táticas de engenharia social para atrair suas vítimas para fazer o download. Os criminosos criaram um perfil no Facebook para uma mulher inexistente que foi usado para promover os links que levavam ao aplicativo de mensagens ameaçador chamado Dardesh. A campanha Desert Scorpion envolveu um dos procedimentos característicos associados ao APT-C-23 - a separação da funcionalidade ameaçadora do ataque em vários estágios, já que o aplicativo Dardesh agia simplesmente como um conta-gotas do primeiro estágio que entregava a carga útil do segundo estágio.

O ATP-23-C retomou as suas atividades no início de 2020, pois estava associado a uma campanha de ataque contra soldados do IDF (Força de Defesa de Israel). Os hackers não se desviaram de suas operações padrão e mais uma vez usaram aplicativos de mensagens para enviar ameaças de Trojan ladrões de informações. Os aplicativos ameaçadores foram promovidos por sites especificamente criados que foram projetados para anunciar as funcionalidades falsas dos aplicativos e fornecer links de download diretos que as vítimas visadas poderiam usar.

A última operação atribuída ao ATP-23-C envolve o uso de uma versão amplamente aprimorada de sua ferramenta de Trojan, chamada de Android/SpyC23.A pelos pesquisadores da ESET. Os hackers ainda estão focados na mesma região com sua ferramenta ameaçadora se passando pelo aplicativo WeMessage sendo detectada em dispositivos de usuários localizados em Israel. Além da gama normal de funções esperada de um moderno Trojan ladrão de informações, o Android/SpyC23.A foi equipado com várias novas habilidades poderosas. Ele pode iniciar chamadas enquanto oculta sua atividade atrás de uma tela preta exibida no dispositivo comprometido. Além disso, o Trojan é capaz de dispensar várias notificações de diferentes aplicativos de segurança Android que dependem do modelo ou fabricante específico do dispositivo infiltrado. Um recurso exclusivo do Android/SpyC23.A é sua capacidade de dispensar as suas PRÓPRIAS notificações. De acordo com os pesquisadores, tal função pode ser útil para ocultar certos alertas de erro que podem aparecer durante as atividades em segundo plano do Trojan.

ATP-23-C é um grupo de hackers bastante prolífico e sofisticado que mostra a tendência de desenvolver constantemente as suas ferramentas de malware, bem como empregar estratégias de engenharia social destinadas a grupos de usuários específicos.

Tendendo

Mais visto

Carregando...