Des pirates informatiques ciblent des militants des droits humains au Maroc et au Sahara occidental

Le malware peut être utilisée pour cibler les utilisateurs Windows et Android. La chaîne d'infection de cette campagne commence par un e-mail de spear phishing envoyé à des cibles, composées d'individus intéressant les attaquants, notamment des militants des droits humains au Maroc et dans la région du Sahara occidental. L'e-mail contient un contenu demandant à la cible d'installer l'application mobile de l'agence de presse sahraouie ou d'inclure un thème d'actualité lié au Sahara occidental.

Etiquettes : pirates informatiques, droits de l’homme, Maroc, Sahara Occidental, Cisco Talos, Starru Addax, RASD, Windows, Android, spear phishing,

Les militants des droits humains au Maroc et dans la région du Sahara occidental sont la cible d’un nouvel acteur menaçant qui exploite les attaques de phishing pour inciter les victimes à installer de fausses applications Android et à proposer des pages de collecte d’informations d’identification aux utilisateurs Windows.

Cisco Talos suit le groupe d’activités sous le nom de Starry Addax , le décrivant comme ciblant principalement les militants associés à la République arabe sahraouie démocratique (RASD).

L’infrastructure de Starry Addax – ondroid[.]site et ondroid[.]store – est conçue pour cibler à la fois les utilisateurs d’Android et de Windows, ce dernier impliquant de faux sites Web se faisant passer pour des pages de connexion de sites Web de médias sociaux populaires.

À la lumière d’une enquête active sur la campagne, Talos a déclaré qu’elle ne pouvait pas divulguer publiquement quels sites Web étaient ciblés par des attaques de collecte d’informations d’identification.

La cyber-sécurité

« Cependant, les acteurs de la menace établissent leur propre infrastructure et hébergent des pages de collecte d’informations d’identification, telles que de fausses pages de connexion pour les médias et les services de messagerie populaires dans le monde entier », a déclaré la société à The Hacker News.

L’adversaire, soupçonné d’être actif depuis janvier 2024, est connu pour envoyer des e-mails de spear phishing à ses cibles, invitant les destinataires à installer l’application mobile de Sahara Press Service ou un leurre pertinent lié à la région.

Selon le système d’exploitation d’où provient la demande, la cible reçoit soit un APK malveillant qui usurpe l’identité de Sahara Press Service, soit est redirigée vers une page de connexion de réseau social pour récupérer ses informations d’identification.

Le nouveau malware Android, baptisé FlexStarling, est polyvalent et équipé pour fournir des composants malveillants supplémentaires et voler des informations sensibles sur les appareils infectés.

Une fois installé, il demande à la victime de lui accorder des autorisations étendues qui permettent au malware d’effectuer des actions néfastes, notamment la récupération de commandes à exécuter à partir d’un système de commande et de contrôle (C2) basé sur Firebase, signe que l’acteur malveillant cherche à voler sous le radar.

« Les campagnes comme celle-ci, qui ciblent des individus de grande valeur, ont généralement pour objectif de rester tranquillement assis sur l’appareil pendant une période prolongée », a déclaré Talos.

« Tous les composants, du malware à l’infrastructure d’exploitation, semblent avoir été fabriqués sur mesure pour cette campagne spécifique, ce qui indique une forte concentration sur la furtivité et la conduite d’activités sous le radar. »

Ce développement intervient au milieu de l’émergence d’un nouveau cheval de Troie commercial d’accès à distance (RAT) Android connu sous le nom d’Oxycorat, proposé à la vente avec diverses capacités de collecte d’informations.

Les dernières découvertes marquent un tournant intéressant dans la mesure où Starry Addax s’est efforcé de créer son propre arsenal d’outils et d’infrastructures pour cibler les militants des droits de l’homme, au lieu de s’appuyer sur des logiciels malveillants de base ou des logiciels espions disponibles dans le commerce.

« Les attaques en sont encore à leurs balbutiements, sur le plan opérationnel. Cependant, l’infrastructure et le malware qui les soutiennent, FlexStarling, ont été jugés suffisamment matures par Starry Addax pour commencer à cibler les militants des droits de l’homme en Afrique du Nord », a ajouté Talos.

« La chronologie des événements, notamment l’établissement de points de dépôt, de C2 et la création de logiciels malveillants depuis début janvier 2024, indique que Starry Addax met rapidement en place une infrastructure pour cibler des individus de grande valeur et qu’elle continuera à prendre de l’ampleur. »

Source : The hacker news, 09/04/2024

#Maroc #SaharaOccidental #Hackers #StarrAddax #Talos #Android #Windows

Visited 5 times, 1 visit(s) today

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*