Cisco Talos rastrea el clúster de actividad conocido como Starry Addax, un nuevo actor de amenazas que utiliza ataques de phishing para engañar a activistas de derechos humanos en Marruecos y la región del Sahara Occidental. Se cree que esta amenaza apunta principalmente a activistas asociados con la República Árabe Saharaui Democrática (RASD) y utiliza correo electrónico de spear-phishing para instalar aplicaciones Android falsas y servir páginas de recolección de credenciales para usuarios de Windows.
La infraestructura de Starry Addax, ondroid[.]site y ondroid[.]store, está diseñada para apuntar tanto a usuarios de Android como de Windows, utilizando sitios web falsos que se hacen pasar por páginas de inicio de sesión de redes sociales populares. El nuevo malware de Android utilizado se llama FlexStarling, el cual es versátil y puede robar información sensible de los dispositivos infectados.
Talos se mantiene en investigación activa de la campaña, por lo que no puede confirmar públicamente los sitios web específicos que están siendo atacados con ataques de recolección de credenciales. Sin embargo, los actores de amenazas están estableciendo su propia infraestructura y alojando páginas para recolectar credenciales falsas de inicio de sesión de medios y servicios de correo populares en todo el mundo.
Si el objetivo está utilizando el sistema operativo Android, recibirá un APK malicioso que se hace pasar por Sahara Press Service. En cambio, si el objetivo está utilizando el sistema operativo Windows, será redirigido a una página de inicio de sesión de redes sociales para recolectar sus credenciales. Una vez que el malware FlexStarling se instala, el objetivo es solicitado a otorgar permisos extensos que permiten al malware realizar acciones nefastas, incluyendo la búsqueda de comandos a ejecutar desde un centro de mando y control (C2), basándose en Firebase.
La apariencia de esta nueva amenaza malware marca un giro interesante, debido a que Starry Addax ha tomado medidas para construir su propio arsenal de herramientas e infraestructura para atacar a activistas de derechos humanos, en lugar de depender de malware de productos básicos o software espía disponible comercialmente. Las últimas investigaciones indican que la infraestructura de apoyo y el malware, FlexStarling, están suficientemente maduros como para comenzar a apuntar a los activistas de derechos humanos en todo el norte de África.
Vía The Hacker News
