Ciberatacantes pro-Hamas apuntan con el malware 'Pierogi' a múltiples objetivos en Medio Oriente

Un grupo de atacantes pro-Hamas conocido como Gaza Cybergang está utilizando una nueva variación del malware de puerta trasera Pierogi++ para lanzar ataques contra objetivos palestinos e israelíes.

Según la investigación de Sentinel Labs, la puerta trasera está basada en el lenguaje de programación C++ y se ha utilizado en campañas entre 2022 y 2023. Los atacantes también han estado utilizando el micropsia malware en recientes campañas de piratería en todo Oriente Medio.

“Las recientes actividades de las Cybergang de Gaza muestran ataques constantes contra entidades palestinas, sin que se observen cambios significativos en la dinámica desde el inicio de la guerra entre Israel y Hamas”, escribió en el informe el investigador principal de amenazas de Sentinel Labs, Aleksandar Milenkoski.

Distribuir el malware

Los piratas informáticos distribuyeron el malware Pierogi++ utilizando archivos y documentos maliciosos de Office que trataban temas palestinos tanto en inglés como en árabe. Estos contenían artefactos de Windows, como tareas programadas y aplicaciones de utilidad, que incluían macros plagadas de malware diseñadas para difundir la puerta trasera Pierogi++.

Milenkoski le dice a Dark Reading que Gaza Cybergang utilizó ataques de phishing y interacciones basadas en redes sociales para hacer circular los archivos maliciosos.

"Pierogi++, distribuido a través de un documento de Office malicioso, se implementa mediante una macro de Office cuando el usuario abre el documento", explica Milenkoski. "En los casos en que la puerta trasera se difunde a través de un archivo, normalmente se camufla como un documento de temática política sobre asuntos palestinos, engañando al usuario para que lo ejecute mediante una acción de doble clic".

Muchos de los documentos utilizaron temas políticos para atraer a sus víctimas y ejecutar la puerta trasera Pierogi++, tales como: “La situación de los refugiados palestinos en Siria, refugiados en Siria” y “El Ministerio de Estado para Asuntos del Muro y los Asentamientos establecido por el gobierno palestino”.

Los pierogi originales

Esta nueva variedad de malware es una versión actualizada de la puerta trasera Pierogi, que los investigadores de Cybereason no haber aun identificado una solucion para el problema hace casi cinco años.

Esos investigadores describieron que la puerta trasera permitía a “los atacantes espiar a sus víctimas” utilizando ingeniería social y documentos falsificados, a menudo basados ​​en temas políticos relacionados con el gobierno palestino, Egipto, Hezbolá e Irán.

La principal diferencia entre la puerta trasera Pierogi original y la variante más nueva es que la primera usa los lenguajes de programación Delphi y Pascal, mientras que la segunda usa C++.

Las variaciones más antiguas de esta puerta trasera también usaban los comandos de puerta trasera ucranianos 'vydalyty', 'Zavantazhyty' y 'Ekspertyza'. Pierogi++ usa las cadenas en inglés 'descargar' y 'pantalla'.

El uso del ucraniano en las versiones anteriores de Pierogi puede haber sugerido una participación externa en la creación y distribución de la puerta trasera, pero Sentinel Labs no cree que este sea el caso de Pierogi++.

Sentinel Labs observó que ambas variantes tienen similitudes de codificación y funcionalidad a pesar de algunas diferencias. Estos incluyen documentos falsificados idénticos, tácticas de reconocimiento y cadenas de malware. Por ejemplo, los piratas informáticos pueden utilizar ambas puertas traseras para realizar capturas de pantalla, descargar archivos y ejecutar comandos.

Los investigadores dijeron que Pierogi++ es una prueba de que Gaza Cybergang está apuntalando el "mantenimiento y la innovación" de su malware en un intento por "mejorar sus capacidades y evadir la detección basada en características conocidas del malware".

No hay nueva actividad desde octubre

Si bien Gaza Cybergang ha estado apuntando a víctimas palestinas e israelíes en campañas predominantemente de “recopilación de inteligencia y espionaje” desde 2012, el grupo no ha aumentado su volumen base de actividad desde el inicio del conflicto de Gaza en octubre. Milenkoski dice que el grupo ha estado apuntando constantemente a “entidades e individuos principalmente israelíes y palestinos” durante los últimos años.

La pandilla comprende varios "subgrupos adyacentes" que han estado compartiendo técnicas, procesos y malware durante los últimos cinco años, señaló Sentinel Labs.

“Estos incluyen Gaza Cybergang Group 1 (Moleratos), Grupo Ciberbanda 2 de Gaza (Víbora árida, Desert Falcons, APT-C-23) y Gaza Cybergang Group 3 (el grupo detrás Operación Parlamento)”, dijeron los investigadores.

Aunque Gaza Cybergang ha estado activo en Medio Oriente durante más de una década, aún se desconoce la ubicación física exacta de sus piratas informáticos. Sin embargo, basándose en información de inteligencia previa, Milenkoski cree que probablemente estén dispersos por todo el mundo de habla árabe en lugares como Egipto, Palestina y Marruecos.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyberattacks-data-breaches/pro-hamas-attackers-hit-multiple-middle-eastern-targets