„Kampaň, která využívá sociální média k distribuci malwaru, je spojena se současnou geopolitickou situací v regionu,“ uvedli odborníci z Positive Technologies Klimentij Galkin a Stanislav Pyžov v analýze. „Útočníci hostují malware na legitimních online účtech pro sdílení souborů nebo na speciálně vytvořených kanálech na Telegramu.“

Podle ruské kyberbezpečnostní společnosti kampaň od podzimu 2024 zasáhla přibližně 900 obětí, což naznačuje její rozsáhlý charakter. Většina obětí se nachází v Libyi, Saúdské Arábii, Egyptě, Turecku, Spojených arabských emirátech, Kataru a Tunisku.

Aktivita, připsaná hrozbě označované jako Desert Dexter, byla objevena v únoru 2025. Hlavní metodou je vytváření dočasných účtů a zpravodajských kanálů na Facebooku. Tyto účty jsou následně využívány k publikování reklam obsahujících odkazy na služby pro sdílení souborů nebo kanály na Telegramu.

Odkazy přesměrovávají uživatele na verzi malwaru AsyncRAT, která byla upravena tak, aby obsahovala offline keylogger, vyhledávala 16 různých rozšíření a aplikací pro kryptoměnové peněženky a komunikovala s botem na Telegramu.

Řetězec útoku začíná archivem RAR, který obsahuje buď dávkový skript, nebo soubor JavaScript, jež jsou naprogramovány k spuštění skriptu PowerShell, který spouští druhou fázi útoku.

Konkrétně skript ukončuje procesy spojené s různými službami .NET, které by mohly zabránit spuštění malwaru, maže soubory s příponami BAT, PS1 a VBS z adresářů „C:ProgramDataWindowsHost“ a „C:UsersPublic“ a vytváří nový soubor VBS v „C:ProgramDataWindowsHost“ a soubory BAT a PS1 v „C:UsersPublic“.

Skript poté nastaví perzistenci v systému, shromažďuje a odesílá systémové informace botovi na Telegramu, pořizuje snímek obrazovky, a nakonec spouští payload AsyncRAT injekcí do spustitelného souboru „aspnet_compiler.exe“.

V současné době není známo, kdo za kampaní stojí, ačkoli arabské komentáře v souboru JavaScript naznačují jejich možný původ.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS