Nel mondo della cybersecurity, è emersa una nuova campagna mirata specificamente al Medio Oriente e al Nord Africa, che utilizza una versione modificata del malware noto come AsyncRAT. Questo attacco, soprannominato "Desert Dexter", è stato identificato per la prima volta nel febbraio 2025 e si è intensificato a partire dall'autunno del 2024, colpendo circa 900 vittime.

Gli attaccanti sfruttano i social media, in particolare Facebook, per diffondere il malware. Creano account temporanei e canali di notizie su Facebook, utilizzati per pubblicare annunci contenenti collegamenti a servizi di condivisione file o canali Telegram. Questi collegamenti reindirizzano gli utenti a una versione di AsyncRAT modificata per includere un keylogger offline, cercare estensioni e applicazioni di criptovalute, e comunicare con un bot di Telegram.

Il processo di attacco inizia con un archivio RAR contenente uno script batch o un file JavaScript, progettati per eseguire uno script PowerShell che attiva la seconda fase dell'attacco. Questo script termina i processi associati a vari servizi .NET per evitare che il malware venga bloccato, elimina file con estensioni BAT, PS1 e VBS e crea nuovi file VBS, BAT e PS1 in cartelle specifiche del sistema. Successivamente, lo script stabilisce la persistenza nel sistema, raccoglie informazioni di sistema e le invia a un bot di Telegram, scatta uno screenshot e infine lancia il payload di AsyncRAT tramite l'iniezione nel file eseguibile "aspnet_compiler.exe".

L'origine della campagna rimane sconosciuta, ma commenti in lingua araba nei file JavaScript suggeriscono una possibile origine geografica. Un'ulteriore analisi dei messaggi inviati al bot di Telegram ha rivelato screenshot del desktop dell'attaccante, denominato "DEXTERMSI", e l'utilizzo di strumenti come Luminosity Link RAT. Inoltre, è stato trovato un collegamento a un canale Telegram chiamato "dexterlyly", creato nell'ottobre 2024, che suggerisce che l'attaccante potrebbe provenire dalla Libia.

La maggior parte delle vittime sono utenti comuni, inclusi dipendenti nei settori della produzione di petrolio, costruzioni, tecnologia dell'informazione e agricoltura. Gli strumenti utilizzati da Desert Dexter non sono particolarmente sofisticati, ma la combinazione di annunci su Facebook con servizi legittimi e riferimenti alla situazione geopolitica ha portato all'infezione di numerosi dispositivi.

Questa campagna sottolinea l'importanza della vigilanza contro le minacce di cybersecurity che sfruttano i social media e i servizi di comunicazione per diffondere malware, specialmente in regioni con tensioni geopolitiche.