Um grupo de hacktivistas pró-Hamas foi observado utilizando um novo malware destrutivo baseado em Linux, chamado BiBi-Linux Wiper, para atacar entidades israelenses em meio ao conflito em curso entre Israel e o Hamas.

O malware é um executável ELF x64 e não possui medidas de ofuscação ou proteção. Ele permite que os atacantes especifiquem pastas-alvo e pode destruir um sistema operacional inteiro se executado com permissões de root.

O malware possui capacidades de multithreading para corromper arquivos simultaneamente, aumentando sua velocidade e alcance.

Ele também sobrescreve arquivos e os renomeia com uma extensão contendo a string codificada BiBi. A string “bibi” tem significado político no Oriente Médio, sendo um apelido comum para o Primeiro-Ministro israelense, Benjamin Netanyahu.

O malware é codificado em C/C++ e tem um tamanho de arquivo de 1,2 MB. Ele permite que o ator de ameaça especifique pastas-alvo por meio de parâmetros de linha de comando.

O grupo suspeito de afiliação com o Hamas, conhecido como Arid Viper, está organizado provavelmente em dois subgrupos, cada um focado em atividades de ciberespionagem contra Israel e Palestina, respectivamente.