Positive Technologies investigó la nueva campaña maliciosa Desert Dexter.
900 víctimas en la sombra de la publicidad: un virus de Libia ataca a los trabajadores petroleros a través de noticias falsas.
Los expertos de Positive Technologies han descubierto una gran campaña maliciosa dirigida a los usuarios de Oriente Medio y el Norte de África. Según sus datos, el ataque comenzó en septiembre de 2024, y los delincuentes propagan una versión modificada del malware AsyncRAT, utilizando canales de noticias falsos en redes sociales. Crean anuncios publicitarios con enlaces a plataformas de intercambio de archivos o canales de Telegram, desde donde los usuarios descargan archivos infectados.
Los expertos han determinado que el ataque afectó a unas 900 personas, la mayoría de ellas usuarios comunes. Entre las víctimas también se encuentran empleados de grandes empresas de diversos sectores, como extracción de petróleo, construcción, tecnologías de la información y agricultura.
El análisis de la geografía de los ataques muestra que 49% de las víctimas residen en Libia, 17% en Arabia Saudita, 10% en Egipto, 9% en Turquía, 7% en Emiratos Árabes Unidos, 5% en Catar, y el resto en otros países de la región.
El grupo de hackers responsable de la campaña ha sido denominado Desert Dexter, nombre elegido por los expertos en honor a uno de los presuntos autores del código malicioso. Los especialistas señalan que los atacantes utilizan cuentas temporales y canales de noticias falsos en Facebook, logrando evadir los filtros de contenido publicitario. Esto les permite difundir enlaces maliciosos entre los usuarios.
Este método de ataque ya se había registrado antes: en 2019, la empresa Check Point describió un ciberataque similar, pero la versión actual incorpora métodos actualizados y esquemas de infección más sofisticados.
Los atacantes utilizan varios pasos para propagar el malware. El usuario, al ver la publicidad, sigue un enlace que lo dirige a una plataforma de intercambio de archivos o un canal de Telegram, disfrazado de recurso informativo. Desde allí, descarga un archivo comprimido en formato RAR que contiene archivos maliciosos.
Al abrir el archivo, se ejecuta y activa AsyncRAT, una herramienta de administración remota utilizada por los hackers para espiar y robar información. La versión modificada de AsyncRAT incluye un módulo especial llamado IdSender, que analiza los navegadores del usuario para identificar extensiones relacionadas con autenticación de dos factores, billeteras de criptomonedas y programas vinculados. Los datos recopilados se envían a un bot de Telegram controlado por los delincuentes.
Según los especialistas, aunque las herramientas utilizadas no son de alta complejidad, el uso de publicidad en redes sociales y plataformas legítimas hace que los ataques sean muy eficaces. Además, Desert Dexter explota la situación geopolítica en la región, publicando información sobre supuestas filtraciones de datos confidenciales. Esto provoca interés no solo entre usuarios comunes, sino también entre funcionarios gubernamentales, quienes pueden ser víctimas sin darse cuenta.
Las huellas digitales son tu debilidad, y los hackers lo saben