Kwaadwillenden verspreiden anti-Netanyahu malware
Een kwaadaardige campagne is ontdekt waarbij aanvallers zich voordeden als het Israëlische National Cybersecurity Directorate (INCD) en verschillende soorten malware verspreidde, waaronder Android en Microsoft wipers. Het doel van de campagne is de verspreiding van anti-Netanyahu propaganda. Onderzoekers van HarfangLab, analyseerden de samples die door IntezerLab waren geïdentificeerd en ontdekten een aantal andere varianten van dezelfde campagne.
De infectievector bleek een e-mail te zijn die zich voordeed als het INCD, verzonden op 11 februari 2024. De e-mail legt uit dat "INCD een op handen zijnde grote cyberaanval heeft ontdekt, georkestreerd door Iran, waarbij gebruik wordt gemaakt van voorheen onbekende kwetsbaarheden op persoonlijke computers en smartphones van burgers". De e-mail dringt er vervolgens bij gebruikers op aan om dringend beveiligingspatches te downloaden voor macOS, iOS, Windows en Android, waarbij macOS- en iOS-links verwijzen naar een legitieme INCD-site.
Boodschap verkondigen en data wissen
Zodra ze hebben vastgesteld dat de apparaten kunnen worden geïnfecteerd, voeren de aanvallers hun kwaadaardige acties uit op de apparaten van de slachtoffers. Er worden een aantal ingesloten componenten ingezet (geplande taakverspreider, wipers, JPG- en videobestanden). Zodra alle bestanden zijn ingezet, start de loader alle uitvoerbare bestanden, stelt het de gedownloade afbeelding in als achtergrond van de computer, zet het geluid aan en start de video met de standaardspeler. Terwijl de video wordt afgespeeld, wordt op de achtergrond een wiper uitgevoerd die het systeem doorzoekt op bestanden die overschreven kunnen worden. Elk van deze bestanden wordt vervolgens geopend en overschreven met willekeurige bytes. Er is ook destructieve software voor Android smartphones.
Verschillende elementen die zijn geïdentificeerd in deze desinformatiecampagne (de titel, de handtekening, de bekende omgekeerde rode driehoek-emoji, de berichten en de gebruikte methoden), evenals de wijziging in de datum die wordt weergegeven op de loaders naar 7 oktober 2023, de datum van de Hamas-aanval op Israël, wijzen erop dat een APT-groep die banden heeft met Hamas achter deze campagne zit. De onderzoekers van HarfangLab schatten momenteel dat er enkele tientallen schadelijke payloads zijn gedownload.
Ivan Kwiatkowski, cybersecurity-onderzoeker bij HarfangLab: "Deze bevindingen bevestigen dat militaire operaties nu systematisch gepaard gaan met een cybercomponent, in dit geval voor destabilisatiedoeleinden. Hoewel de impact van deze campagne relatief beperkt lijkt, lijkt het bestaan ervan te bevestigen dat 2024 een jaar van hoge spanning zal worden."
Meer informatie is beschikbaar in het onderzoeksrapport.
Meer over Security
Over Wouter Hoeffnagel
