Op maandag 12 februari publiceerde het onderzoeksteam van IntezerLab informatie over de ontdekking van een kwaadaardige campagne die zich voordeed als het Israëlische National Cybersecurity Directorate en verschillende soorten malware verspreidde, zoals Android en Microsoft wipers, om anti-Netanyahu propaganda te verspreiden. Onderzoekers van HarfangLab, analyseerden de samples die door IntezerLab waren geïdentificeerd en ontdekten een aantal andere varianten van dezelfde campagne.
De infectievector bleek een e-mail te zijn die zich voordeed als het Israëlische National Cybersecurity Directorate (INCD), verzonden op 11 februari 2024. De e-mail legt uit dat “INCD een op handen zijnde grote cyberaanval heeft ontdekt, georkestreerd door Iran, waarbij gebruik wordt gemaakt van voorheen onbekende kwetsbaarheden op persoonlijke computers en smartphones van burgers”. De e-mail dringt er vervolgens bij gebruikers op aan om dringend beveiligingspatches te downloaden voor macOS, iOS, Windows en Android, waarbij macOS- en iOS-links verwijzen naar een legitieme INCD-site.
Zodra ze hebben vastgesteld dat de apparaten kunnen worden geïnfecteerd, voeren de aanvallers hun kwaadaardige acties uit op de apparaten van de slachtoffers. Er worden een aantal ingesloten componenten ingezet (geplande taakverspreider, wipers, JPG- en videobestanden). Zodra alle bestanden zijn ingezet, start de loader alle uitvoerbare bestanden, stelt het de gedownloade afbeelding in als achtergrond van de computer, zet het geluid aan en start de video met de standaardspeler. Terwijl de video wordt afgespeeld, wordt op de achtergrond een wiper uitgevoerd die het systeem doorzoekt op bestanden die overschreven kunnen worden. Elk van deze bestanden wordt vervolgens geopend en overschreven met willekeurige bytes. Er is ook destructieve software voor Android smartphones.
Verschillende elementen die zijn geïdentificeerd in deze desinformatiecampagne (de titel, de handtekening, de bekende omgekeerde rode driehoek-emoji, de berichten en de gebruikte methoden), evenals de wijziging in de datum die wordt weergegeven op de loaders naar 7 oktober 2023, de datum van de Hamas-aanval op Israël, wijzen erop dat een APT-groep die banden heeft met Hamas achter deze campagne zit. De onderzoekers van HarfangLab schatten momenteel dat er enkele tientallen schadelijke payloads zijn gedownload.
Ivan Kwiatkowski, cybersecurity-onderzoeker bij HarfangLab: “Deze bevindingen bevestigen dat militaire operaties nu systematisch gepaard gaan met een cybercomponent, in dit geval voor destabilisatiedoeleinden. Hoewel de impact van deze campagne relatief beperkt lijkt, lijkt het bestaan ervan te bevestigen dat 2024 een jaar van hoge spanning zal worden.”
