黑客Desert Dexter利用Facebook广告和Telegram恶意链接攻击900名受害者

自2024年9月以来，中东和北非地区成为了一场新型攻击活动的目标，该活动传播了一种经过修改的知名恶意软件AsyncRAT。

“这场利用社交媒体分发恶意软件的活动，与该地区的当前地缘政治气候有关，”Positive Technologies的研究人员克利门蒂·加尔金和斯坦尼斯拉夫·皮日霍夫在上周发布的一份分析报告中表示。“攻击者将恶意软件托管在合法的在线文件共享账户或专门为此目的设立的Telegram频道中。”

据估计，自2024年秋季以来，这场活动已经感染了大约900名受害者，俄罗斯网络安全公司补充道，这表明其传播范围广泛。大多数受害者位于利比亚、沙特阿拉伯、埃及、土耳其、阿拉伯联合酋长国、卡塔尔和突尼斯。

这一活动被归因于一个名为Desert Dexter的威胁行为者，该行为者于2025年2月被发现。其主要手段是在Facebook上创建临时账户和新闻频道，然后利用这些账户发布包含文件共享服务或Telegram频道链接的广告。

网络安全研究人员指出，这些链接会将用户重定向到一个经过修改的AsyncRAT恶意软件版本，该版本包含离线键盘记录功能；搜索16种不同的加密货币钱包扩展和应用程序；并与Telegram机器人通信。

攻击链从一个RAR存档开始，其中包含批处理脚本或JavaScript文件，这些文件被编程为运行PowerShell脚本，该脚本负责触发攻击的第二阶段。

具体来说，它终止了与各种.NET服务相关的进程，这些进程可能会阻止恶意软件启动，从“C:\ProgramData\WindowsHost”和“C:\Users\Public”文件夹中删除扩展名为BAT、PS1和VBS的文件，并在C:\ProgramData\WindowsHost中创建一个新的VBS文件，在C:\Users\Public中创建BAT和PS1文件。

该脚本随后在系统上建立持久性，收集并外泄系统信息到Telegram机器人，截取屏幕截图，并最终通过将AsyncRAT有效载荷注入“aspnet_compiler.exe”可执行文件来启动它。

目前尚不清楚谁是这场活动的幕后黑手，尽管JavaScript文件中的阿拉伯语评论暗示了他们可能的来源。

对发送到Telegram机器人的消息的进一步分析显示，攻击者的桌面截图名为“DEXTERMSI”，其中包含PowerShell脚本以及一个名为Luminosity Link RAT的工具。Telegram机器人中还有一个名为“dexterlyly”的Telegram频道的链接，这表明威胁行为者可能来自利比亚。该频道创建于2024年10月5日。

“大多数受害者是普通用户，包括以下行业的员工：石油生产、建筑、信息技术和农业，”研究人员表示。

网络安全研究人员指出，Desert Dexter使用的工具并不特别复杂。然而，Facebook广告与合法服务的结合以及对地缘政治形势的利用，已经导致了众多设备被感染。

这一消息的出现正值奇安信（QiAnXin）披露了一场名为“海象行动”的鱼叉式网络钓鱼活动的细节，该活动被发现针对中国科研机构，目的是投放一个能够收集与海洋科学和技术相关的敏感信息的后门。

这一活动被归因于一个名为UTG-Q-011的集群，据称，它是另一个敌对集体CNC集团的一个子集，该集团与印度的Patchwork威胁行为者在战术上存在重叠。

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；