Software malicioso de limpieza BiBi-Linux

Un grupo hacktivista que apoya a Hamás ha sido identificado utilizando un nuevo malware de limpieza basado en Linux llamado BiBi-Linux Wiper. Este software malicioso está dirigido específicamente a organizaciones israelíes durante el conflicto en curso entre Israel y Hamás.

BiBi-Linux Wiper está diseñado como un ejecutable ELF x64 y no emplea ofuscación ni medidas de protección. Este malware permite a los atacantes designar carpetas de destino y, si se ejecuta con permisos de root, tiene el potencial de dejar inoperable todo un sistema operativo.

Otras funcionalidades descubiertas en el malware Wiper BiBi-Linux

Entre sus diversas capacidades, el malware emplea subprocesos múltiples para corromper archivos simultáneamente, mejorando así su velocidad y alcance. Lo logra sobrescribiendo archivos y renombrándolos con una cadena codificada específica 'BiBi' en el formato '[NOMBRE_ALEATORIO].BiBi[NÚMERO]'. Además, puede impedir que ciertos tipos de archivos se dañen.

Este malware destructivo, desarrollado en C/C++, tiene un tamaño de archivo de 1,2 MB. Otorga al actor de amenazas la capacidad de especificar carpetas de destino utilizando parámetros de línea de comandos, siendo la opción predeterminada el directorio raíz ('/') si no se proporciona una ruta específica. Sin embargo, realizar acciones a este nivel requiere permisos de root.

En particular, BiBi-Linux Wiper emplea el comando 'nohup' durante la ejecución para garantizar que funcione sin problemas en segundo plano. Ciertos tipos de archivos están exentos de ser sobrescritos, como aquellos con las extensiones .out o .so. Esta excepción es esencial porque la amenaza depende de archivos como bibi-linux.out y nohup.out para su funcionamiento, además de bibliotecas compartidas cruciales para el sistema operativo Unix/Linux (archivos .so).

Los piratas informáticos centran sus actividades en objetivos de alto perfil en Oriente Medio

Los investigadores creen que el presunto actor de amenazas afiliado a Hamas, conocido por varios nombres, incluido Arid Viper (también conocido como APT-C-23, Desert Falcon, Gaza Cyber Gang y Molerats), probablemente opere como dos subgrupos distintos. Cada uno de estos subgrupos se centra principalmente en realizar actividades de ciberespionaje dirigidas a Israel o Palestina.

Arid Viper suele dedicarse a la práctica de atacar a personas, incluidas personas preseleccionadas de alto perfil de origen palestino e israelí. También se dirigen a grupos más amplios, particularmente dentro de sectores críticos como las organizaciones gubernamentales y de defensa, las fuerzas del orden, así como los partidos y movimientos políticos.

Para lograr sus objetivos, Arid Viper emplea varias cadenas de ataque. Estas cadenas a menudo comienzan con ataques de ingeniería social y phishing como métodos de intrusión iniciales, lo que les permite implementar una amplia gama de malware personalizado diseñado para espiar a sus víctimas. Este arsenal de malware otorga al actor de amenazas un conjunto diverso de capacidades de espionaje, incluida la grabación de audio a través del micrófono, la capacidad de detectar y extraer archivos de unidades flash insertadas y el robo de credenciales guardadas del navegador.