Nový kybernetický útok Desert Dexter už zasiahol stovky obetí. Zatiaľ je za našimi hranicami, no čoskoro môže udrieť aj u nás
Kampaň "Desert Dexter" šíri upravený malvér AsyncRAT cez sociálne médiá ako Facebook a Telegram či iné zdieľacie služby.
V posledných mesiacoch sa na Blízkom východe a v severnej Afrike rozbehla nová kybernetická kampaň. Útočníci využívajú zraniteľnosti v sociálnych médiách na šírenie upravenej verzie známeho malvéru AsyncRAT. Tento útok, ktorý sa začal v septembri 2024, zasahuje rôzne krajiny v regióne. Jeho cieľom je ukradnúť citlivé informácie prevažne od bežných používateľov. Kampaň s názvom „Desert Dexter“ zasiahla už približne 900 obetí. Medzi nimi sú krajiny ako Líbya, Saudská Arábia, Egypt, Turecko, Spojené arabské emiráty, Katar a Tunisko. Na problematiku upozorňuje portál thehackernews.com.
Ako k útoku dochádza?
Útočníci, ktorí sa skrývajú pod aliasom Desert Dexter, vytvárajú dočasné účty na Facebooku. Tieto účty používajú na zverejňovanie reklám obsahujúcich odkazy na legitímne služby na zdieľanie súborov alebo Telegram kanály. Odkazy vedú k stiahnutiu malvéru AsyncRAT, ktorý bol upravený. Malvér obsahuje funkcie ako offline keylogger, vyhľadávanie kryptomenových peňaženiek a komunikáciu s Telegram botom.
Malvér sa distribuuje v RAR archívoch. Tieto archívy obsahujú dávkový skript alebo JavaScript súbor. Skript spustí PowerShell skript, ktorý začne samotný útok. Skript sa najprv zbaví procesov, ktoré môžu brániť spusteniu malvéru, ako sú .NET služby. Následne odstráni súbory s konkrétnymi príponami (BAT, PS1, VBS) zo systémových priečinkov. Vytvoria sa nové skripty a súbory, ktoré zabezpečia trvalú prítomnosť malvéru v systéme.
Cieľom sú bežní používatelia
Väčšina obetí sú obyčajní používatelia. Patria sem aj zamestnanci v odvetviach ako ťažba ropy, stavebníctvo, IT a poľnohospodárstvo. Útoky sa nezameriavajú len na odborníkov či vládnych činiteľov, ale aj na bežných jednotlivcov. Ich osobné údaje môžu byť cenné na čiernom trhu. Útočníci využívajú sociálne médiá a legitímne služby, aby oklamali čo najväčší počet ľudí a vyhli sa detekcii.
Geopolitické pozadie
Geopolitické pozadie týchto útokov je zaujímavé. Výskumníci naznačujú, že táto kampaň by mohla byť spojená s politickou situáciou v regióne Blízkeho východu. Skripty malvéru obsahujú arabské komentáre, čo naznačuje pôvod útočníkov. Okrem toho Telegram kanál spojený s útokom obsahuje screenshoty pracovnej plochy útočníka. Na nich je nástroj Luminosity Link RAT, známy pre schopnosti vzdialeného prístupu do infikovaných zariadení.
Neprehliadni
Riziká a obrana proti útoku
Nástroje použité v tomto útoku nie sú technicky veľmi zložité. Kombinácia sociálnych médií a legitímnych služieb však robí tento útok nebezpečným a efektívnym. Nie je jasné, kto presne stojí za touto kampaňou. Sledovanie správania malvéru a ďalšia analýza môžu odhaliť viac detailov. Odborníci však varujú, že tento útok je len jedným z mnohých podobných incidentov, ktoré môžu prísť v budúcnosti. Preto je dôležité neustále monitorovať svoju kybernetickú bezpečnosť a vzdelávať sa o nových hrozbách.
Kybernetické hrozby sú stále sofistikovanejšie. Útočníci využívajú nové spôsoby, ako získať prístup k citlivým informáciám. Kampaň Desert Dexter ukazuje, ako sa spájajú sociálne médiá, legitímne služby a geopolitické napätie na šírenie malvéru. Bežní používatelia by mali zostať opatrní a chrániť svoje zariadenia pred týmto nebezpečným útokom.
Komentáre