BiBi-Linux Wiper Malware

Um grupo hacktivista que apoia o Hamas foi identificado usando um novo malware de limpeza baseado em Linux chamado BiBi-Linux Wiper. Este software malicioso destina-se especificamente a organizações israelitas durante o conflito em curso entre Israel e o Hamas.

O BiBi-Linux Wiper foi projetado como um executável ELF x64 e não emprega ofuscação ou medidas de proteção. Este malware permite que os invasores designem pastas de destino e, se executado com permissões de root, tem o potencial de tornar um sistema operacional inteiro inoperante.

Outras Funcionalidades Descobertas no BiBi-Linux Wiper Malware

Entre as suas várias capacidades, o malware emprega multithreading para corromper ficheiros simultaneamente, aumentando assim a sua velocidade e alcance. Ele consegue isso sobrescrevendo arquivos e renomeando-os com uma string específica codificada 'BiBi' no formato '[RANDOM_NAME].BiBi[NUMBER]'. Além disso, pode impedir que certos tipos de arquivos sejam corrompidos.

Este malware destrutivo, desenvolvido em C/C++, tem um tamanho de arquivo de 1,2 MB. Ele concede ao agente da ameaça a capacidade de especificar pastas de destino usando parâmetros de linha de comando, sendo a escolha padrão o diretório raiz ('/') se nenhum caminho específico for fornecido. No entanto, a execução de ações neste nível requer permissões de root.

Notavelmente, o BiBi-Linux Wiper emprega o comando ‘nohup’ durante a execução para garantir que funcione sem problemas em segundo plano. Certos tipos de arquivo estão isentos de substituição, como aqueles com extensões .out ou .so. Esta exceção é essencial porque a ameaça depende de arquivos como bibi-linux.out e nohup.out para seu funcionamento, além de bibliotecas compartilhadas cruciais para o sistema operacional Unix/Linux (arquivos .so).

Os Hackers estão Concentrando Suas Atividades em Alvos Importantes no Oriente Médio

Os pesquisadores acreditam que o suposto ator de ameaça afiliado ao Hamas, conhecido por vários nomes, incluindo Arid Viper (também conhecido como APT-C-23, Desert Falcon, Gaza Cyber Gang e Molerats), provavelmente opera como dois subgrupos distintos. Cada um destes subgrupos concentra-se principalmente na condução de atividades de espionagem cibernética visando Israel ou a Palestina.

O Arid Viper geralmente se envolve na prática de atingir indivíduos, incluindo indivíduos pré-selecionados de alto perfil de origem palestina e israelense. Visam também grupos mais vastos, especialmente em sectores críticos, como organizações governamentais e de defesa, aplicação da lei, bem como partidos e movimentos políticos.

Para atingir seus objetivos, o Arid Viper emprega diversas cadeias de ataque. Essas cadeias geralmente começam com ataques de engenharia social e phishing como métodos iniciais de invasão, permitindo-lhes implantar uma ampla gama de malware personalizado projetado para espionar suas vítimas. Esse arsenal de malware concede ao agente da ameaça um conjunto diversificado de recursos de espionagem, incluindo gravação de áudio através do microfone, a capacidade de detectar e exfiltrar arquivos de unidades flash inseridas e o roubo de credenciais salvas do navegador.