Está diseñado para sobrescribir datos en el directorio C:\Users
Investigadores de ciberseguridad han advertido sobre una versión para Windows de un malware de limpieza que se observó anteriormente apuntando a sistemas Linux en ataques cibernéticos dirigidos a Israel.
Apodado BiBi-Windows Wiper por BlackBerry, el malware limpiador (wiper en inglés) es la contraparte para Windows de BiBi-Linux Wiper, que ha sido utilizado por un grupo hacktivista pro-Hamás a raíz de la guerra entre Israel y Hamás el mes pasado.
"La variante de Windows confirma que los actores de amenazas que crearon el limpiador continúan desarrollando el malware e indica una expansión del ataque para apuntar a las máquinas de los usuarios finales y a los servidores de aplicaciones", dijo el viernes la compañía canadiense.
La firma eslovaca de ciberseguridad está rastreando al actor detrás del limpiador bajo el nombre BiBiGun, señalando que la variante de Windows (bibi.exe) está diseñada para sobrescribir datos en el directorio C:\Users de forma recursiva con datos basura y agrega .BiBi al nombre del archivo.
Se dice que el artefacto BiBi-Windows Wiper se compiló el 21 de octubre de 2023, dos semanas después del inicio de la guerra. Actualmente se desconoce el método exacto mediante el cual se distribuye.
Además de dañar todos los archivos, excepto aquellos con extensiones .exe, .dll y .sys, el limpiador elimina instantáneas del sistema, impidiendo efectivamente que las víctimas recuperen sus archivos.
Otra similitud notable con su variante de Linux es su capacidad de subprocesos múltiples.
"Para lograr la acción de destrucción más rápida posible, el malware ejecuta 12 subprocesos con ocho núcleos de procesador", dijo Dmitry Bestuzhev, director senior de inteligencia de amenazas cibernéticas de BlackBerry.
No está claro de inmediato si el limpiador se ha utilizado en ataques del mundo real y, de ser así, quiénes son los objetivos.
El desarrollo se produce cuando Security Joes, que documentó por primera vez BiBi-Linux Wiper, dijo que el malware es parte de una "campaña más grande dirigida a empresas israelíes con la intención deliberada de interrumpir sus operaciones diarias mediante la destrucción de datos".
La firma de ciberseguridad dijo que identificó superposiciones tácticas entre el grupo hacktivista, que se hace llamar Karma, y otro actor con motivos geopolíticos cuyo nombre en código es Moses Staff (también conocido como Cobalt Sapling), que se sospecha que es de origen iraní.
"Aunque hasta este momento la campaña se ha centrado principalmente en los sectores gubernamentales y de TI de Israel, algunos de los grupos participantes, como Moses Staff, tienen un historial de atacar simultáneamente organizaciones en varios sectores comerciales y ubicaciones geográficas", dijo Security Joes.