Timur Tengah dan Afrika Utara telah menjadi target kampanye baru yang memberikan versi modifikasi dari malware yang dikenal bernama Asyncrat sejak September 2024.
“Kampanye, yang memanfaatkan media sosial untuk mendistribusikan malware, terikat pada iklim geopolitik di kawasan ini,” kata peneliti Teknologi Positif KLimSiy Galkin dan Stanislav Pyzhov dalam analisis yang diterbitkan pekan lalu. “Para penyerang menjadi tuan rumah malware dalam akun berbagi file online yang sah atau saluran telegram yang diatur khusus untuk tujuan ini.”
Kampanye ini diperkirakan telah mengklaim sekitar 900 korban sejak musim gugur 2024, perusahaan cybersecurity Rusia menambahkan, menunjukkan sifatnya yang meluas. Mayoritas korban berlokasi di Libya, Arab Saudi, Mesir, Turki, Uni Emirat Arab, Qatar, dan Tunisia.
Aktivitas, dikaitkan dengan aktor ancaman yang dijuluki Desert Dexterditemukan pada bulan Februari 2025. Ini terutama melibatkan pembuatan akun sementara dan saluran berita di Facebook. Akun-akun ini kemudian digunakan untuk mempublikasikan iklan yang berisi tautan ke layanan berbagi file atau saluran telegram.
Tautan, pada gilirannya, mengarahkan kembali pengguna ke versi malware Asyncrat yang telah diubah untuk memasukkan keylogger offline; mencari 16 ekstensi dan aplikasi dompet cryptocurrency yang berbeda; dan berkomunikasi dengan bot telegram.
Rantai Kill dimulai dengan arsip RAR yang termasuk skrip batch atau file JavaScript, yang diprogram untuk menjalankan skrip PowerShell yang bertanggung jawab untuk memicu tahap kedua serangan.
Secara khusus, ini mengakhiri proses yang terkait dengan berbagai layanan .NET yang dapat mencegah malware mulai, menghapus file dengan ekstensi BAT, PS1, dan VBS dari “C: \ ProgramData \ WindowShost” dan “C: \ Users \ Public”, dan membuat file VBS di C: \ Programdata \ Publicsh.
Script kemudian membangun persistensi pada sistem, mengumpulkan dan mengekspiltrat informasi sistem ke bot telegram, mengambil tangkapan layar, dan akhirnya meluncurkan muatan asyncrat dengan menyuntikkannya ke dalam dieksekusi “aspnet_compiler.exe”.
Saat ini tidak diketahui siapa yang berada di belakang kampanye, meskipun komentar bahasa Arab dalam file JavaScript menyinggung kemungkinan asal mereka.
Analisis lebih lanjut dari pesan yang dikirim ke bot telegram telah mengungkapkan tangkapan layar desktop penyerang sendiri bernama “Dextermsi,” yang menampilkan skrip PowerShell serta alat bernama Luminosity Link Rat. Juga hadir dalam bot telegram adalah tautan ke saluran telegram bernama “Dexterlyly,” yang menunjukkan bahwa aktor ancaman bisa berasal dari Libya. Saluran ini dibuat pada 5 Oktober 2024.
“Mayoritas korban adalah pengguna biasa, termasuk karyawan di sektor -sektor berikut: produksi minyak, konstruksi, teknologi informasi, [and] pertanian, “kata para peneliti.
“Alat yang digunakan oleh Desert Dexter tidak terlalu canggih. Namun, kombinasi iklan Facebook dengan layanan yang sah dan referensi ke situasi geopolitik telah menyebabkan infeksi berbagai perangkat.”
Perkembangan ini terjadi ketika qianxin mengungkapkan rincian kampanye phishing tombak yang dijuluki Operation Sea Elephant yang telah ditemukan menargetkan lembaga penelitian ilmiah di Cina dengan tujuan memberikan pintu belakang yang mampu memanen informasi sensitif yang terkait dengan ilmu laut dan teknologi.
Kegiatan ini telah dikaitkan dengan gugus bernama UTG-Q-011, yang, katanya, adalah subset dalam kolektif permusuhan lain yang disebut CNC Group yang berbagi tumpang tindih taktis dengan tambal sulam, aktor ancaman yang diduga berasal dari India.
