Hackers iranianos se fazem passar por jornalistas para aplicar golpe
Hackers iranianos se passaram por jornalistas da TV alemã Deutsche Welle e da revista israelense Jewish Journal, e do Wall Street Journal em ataques anteriores este ano.
Hackers do governo iraniano têm se feito passar por jornalistas para alcançar alvos via LinkedIn e configurar chamadas do WhatsApp para ganhar sua confiança, antes de compartilhar links para páginas de phishing e arquivos infectados por malware.
Os ataques aconteceram em julho e agosto deste ano, de acordo com a empresa israelense de segurança cibernética ClearSky, que publicou um relatório hoje detalhando esta campanha em particular.
Acredita-se que os hackers sejam membros do supergrupo iraniano CharmingKitten , também conhecido como APT35, NewsBeef, Newscaster ou Ajax, de acordo com Ohad Zaidenberg, pesquisador líder de inteligência cibernética da ClearSky.
Zaidenberg diz que a campanha recente teve como alvo especialistas acadêmicos, ativistas de direitos humanos e jornalistas especializados em assuntos iranianos.
O pesquisador da ClearSky disse que os hackers contataram as vítimas primeiro por meio de mensagens do LinkedIn, onde se fizeram passar por jornalistas de língua persa que trabalhavam para a emissora alemã Deutsche Welle e para a revista israelense Jewish Journal.
Depois de fazer contato, os invasores tentariam estabelecer uma chamada de WhatsApp com o alvo e discutir assuntos iranianos para ganhar a confiança do alvo.
Após essa chamada inicial, as vítimas acabariam recebendo um link para um domínio Deutsche Welle comprometido que hospedava uma página de phishing ou um arquivo ZIP contendo malware capaz de despejar e roubar suas credenciais.
Zaidenberg disse que a operação recente do grupo é uma escalada de outros ataques realizados no final de 2019 e no início de 2020, quando o mesmo grupo também se passou por jornalistas, desta vez trabalhando para o Wall Street Journal , para atingir seus alvos.
No entanto, em ataques anteriores, o CharmingKitten usou apenas e-mails e SMS para chegar às vítimas, mas nunca ligou para seus alvos.
“Este TTP [técnica, tática, procedimento] é incomum e põe em risco a identidade falsa dos atacantes (ao contrário dos e-mails, por exemplo)”, escreveu Zaidenberg no relatório ClearSky publicado hoje.
“No entanto, se os atacantes passaram com sucesso pelo obstáculo da ligação telefônica, eles podem ganhar mais confiança da vítima, em comparação com uma mensagem de e-mail.”
Zaidenberg também aponta que as táticas usadas pela CharmingKitten não estavam nem perto das originais. Os hackers norte-coreanos vêm usando essa tática específica há anos, como organizar entrevistas de emprego falsas no Skype para violar a rede de caixas eletrônicos do Chile ou marcar entrevistas falsas por telefone ou chamadas do WhatsApp com funcionários que trabalham em várias empresas de defesa.
