Hackers do governo iraniano têm se feito passar por jornalistas para alcançar alvos via LinkedIn e configurar chamadas do WhatsApp para ganhar sua confiança, antes de compartilhar links para páginas de phishing e arquivos infectados por malware.
Os ataques aconteceram em julho e agosto deste ano, de acordo com a empresa israelense de segurança cibernética ClearSky, que publicou um relatório hoje detalhando esta campanha em particular.
Acredita-se que os hackers sejam membros do supergrupo iraniano CharmingKitten , também conhecido como APT35, NewsBeef, Newscaster ou Ajax, de acordo com Ohad Zaidenberg, pesquisador líder de inteligência cibernética da ClearSky.
Zaidenberg diz que a campanha recente teve como alvo especialistas acadêmicos, ativistas de direitos humanos e jornalistas especializados em assuntos iranianos.
O pesquisador da ClearSky disse que os hackers contataram as vítimas primeiro por meio de mensagens do LinkedIn, onde se fizeram passar por jornalistas de língua persa que trabalhavam para a emissora alemã Deutsche Welle e para a revista israelense Jewish Journal.
Depois de fazer contato, os invasores tentariam estabelecer uma chamada de WhatsApp com o alvo e discutir assuntos iranianos para ganhar a confiança do alvo.
Após essa chamada inicial, as vítimas acabariam recebendo um link para um domínio Deutsche Welle comprometido que hospedava uma página de phishing ou um arquivo ZIP contendo malware capaz de despejar e roubar suas credenciais.
Zaidenberg disse que a operação recente do grupo é uma escalada de outros ataques realizados no final de 2019 e no início de 2020, quando o mesmo grupo também se passou por jornalistas, desta vez trabalhando para o Wall Street Journal , para atingir seus alvos.
No entanto, em ataques anteriores, o CharmingKitten usou apenas e-mails e SMS para chegar às vítimas, mas nunca ligou para seus alvos.
“Este TTP [técnica, tática, procedimento] é incomum e põe em risco a identidade falsa dos atacantes (ao contrário dos e-mails, por exemplo)”, escreveu Zaidenberg no relatório ClearSky publicado hoje.
“No entanto, se os atacantes passaram com sucesso pelo obstáculo da ligação telefônica, eles podem ganhar mais confiança da vítima, em comparação com uma mensagem de e-mail.”
Zaidenberg também aponta que as táticas usadas pela CharmingKitten não estavam nem perto das originais. Os hackers norte-coreanos vêm usando essa tática específica há anos, como organizar entrevistas de emprego falsas no Skype para violar a rede de caixas eletrônicos do Chile ou marcar entrevistas falsas por telefone ou chamadas do WhatsApp com funcionários que trabalham em várias empresas de defesa.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…