Il gruppo APT36 pakistano utilizza file .desktop su Linux per installare malware e ottenere accesso persistente.
Le vittime ricevono allegati ZIP via phishing contenenti file .desktop mascherati da PDF che eseguono comandi bash nascosti.
I file .desktop creano un payload esadecimale in /tmp/, lo rendono eseguibile e lo avviano in background.
Per evitare sospetti, lo script apre un PDF decoy su Google Drive tramite Firefox.
Gli aggressori abilitano l’autostart del file .desktop a ogni login con campi come X-GNOME-Autostart-enabled=true.
Il payload è un eseguibile ELF scritto in Go e può stabilire persistenza tramite cron e servizi systemd.
La comunicazione con il C2 avviene su WebSocket bidirezionale per esfiltrazione dati ed esecuzione remota di comandi.
Questa campagna dimostra l’evoluzione delle tattiche di APT36 verso metodologie più evasive e sofisticate.
Get notified when new stories are published for "Hacker News 🇮🇹 Italiano"