ІТ-безпека Gmail і Telegram скомпрометована хакерами на службі в іранського режиму

Виявилася кампанія спостереження, проведена іранськими службами проти дисидентів режиму, яка триває вже шість років. З 2014 року Rampant Kitten (хакерська група, яка стоїть за цією кампанією) розпочав атаки, щоб шпигувати за своїми жертвами, включаючи викрадення облікових записів Telegram, вилучення двофакторних кодів автентифікації через текстові повідомлення, телефонні записи, доступ до інформації про акаунт KeePass та розповсюдження зловмисних програм фішингові сторінки за допомогою підроблених облікових записів сервісів Telegram.

Вони використовували шкідливі документи для нападу на своїх жертв та крадіжки якомога більше інформації, що зберігається на зараженому пристрої. Документ під назвою «Режимний страх поширюється за революційні гармати.docx» дозволив Rampant Kitten здійснювати свої атаки. Після відкриття файл завантажив шаблонний документ із віддаленого сервера (afalr-sharepoint [.] Com), який маскується під веб-сайт некомерційної організації, яка допомагає іранським дисидентам. Потім він завантажив шкідливий макрокод, який запускає пакетний скрипт для завантаження та виконання корисного навантаження наступного кроку. Потім це корисне навантаження перевіряє, чи встановлено поштову службу Telegram в системі жертв. Якщо так, він витягує три виконувані файли зі своїх ресурсів. Ці виконувані файли включають злодія інформації, який бере файли Telegram з комп’ютера жертви, викрадає інформацію з програми керування паролями KeePass, завантажує будь-який файл, який закінчується набором заздалегідь визначених розширень, зберігає дані буфера обміну та робить знімки екрана. Нестримний кошеня також використовує фішинг-сторінки, щоб видавати себе за Telegram.

Також виявлено зловмисний додаток для Android. На службі вона була замаскована, щоб допомогти іранцям у Швеції отримати водійські права. Після того, як жертви завантажили програму, бэкдор викрав їх SMS-повідомлення та обійшов двофакторну автентифікацію (2FA), переадресувавши всі SMS-повідомлення, що містять 2FA-коди, на номер телефону, керований зловмисником. Однією з унікальних особливостей цієї шкідливої ​​програми є пересилання будь-якого SMS, що починається з префікса G- (префікс для двофакторних кодів автентифікації від Google), на номер телефону, який він отримує від сервера C2. Слід зазначити, що програма також запускає фішинг-атаку, націлену на облікові дані облікового запису Google (Gmail) жертв. Він також отримує особисті дані (наприклад, контакти та дані облікового запису) та записує телефонне середовище.

Більше інформації тут і тут.

gmail

Gmail і Telegram зрозумілі хакерам на службі режиму