Пользуясь ошибками разработчиков Google, злоумышленники незаметно собирают конфиденциальные данные пользователей.
https://www.securitylab.ru/upload/ib...vt32fs9tzl.jpg
Хакеры, связанные с иранским правительством, проводят кампанию социальной инженерии и фишинга, направленную против правозащитников, журналистов, исследователей, ученых, дипломатов и политиков, работающих на Ближнем Востоке. Жертвами стали не менее 20 человек. Об этом заявила организация Human Rights Watch (HRW).
В ходе кампании была скомпрометирована электронная почта и украдены конфиденциальные данные, принадлежащие трём целям:<ul><li>корреспондент крупной американской газеты;</li>
</ul><ul><li>защитница прав женщин из стран Персидского залива;</li>
</ul><ul><li>консультант по защите интересов Refugees International Николас Ноэ из Ливана.</li>
</ul>Злоумышленники получили доступ к:<ul><li>электронной почте;</li>
</ul><ul><li>облачному хранилищу;</li>
</ul><ul><li>календарям;</li>
</ul><ul><li>контактам.</li>
</ul>А также украли все данные, связанные с аккаунтами Google, в виде архивных файлов через Google Takeout.
Цепочка заражения начинается с того, что жертва получает подозрительное сообщение в WhatsApp под предлогом приглашения на конференцию. В сообщении жертву убеждают перейти по ссылке на фишинговый сайт, имитирующий страницу входа в Microsoft, Google и Yahoo!, и захватить введенные учетные данные. 15 из 20 жертв получили одни и те же сообщения WhatsApp в период с 15 сентября по 25 ноября.
https://www.securitylab.ru/upload/im...t-img(898).png
Эти фишинговые страницы также могут быть использованы в AiTM-атаке для взлома учетных записей c двухфакторной аутентификацией (2FA).
HRW также указала на недостатки в средствах защиты Google, поскольку предупреждения безопасности из-за активности в аккаунте Google не отображают какие-либо уведомления. Из-за этого жертвы атак даже не знали, что «их учетные записи Gmail были скомпрометированы или их данные выгружены через Google Takeout»
https://www.securitylab.ru/upload/im...t-img(899).png
Активность угроз свидетельствует о более широкой кампании, в которой используются сокращатели URL-адресов для направления жертв на фишинговые страницы. Это поведение характерно для APT-группа, связанных с Ираном, таких как APT42 и Phosphorus .
Ранее исследователи из Mandiant отмечали, что группировка APT42 действует от имени Корпуса стражей исламской революции (КСИР) , а ее тактики, техники и процедуры (TTPs) очень напоминают APT35 – другую иранскую группу, известную как Charming Kitten и Phosphorus.
APT42 отдает предпочтение целевому фишингу против корпоративных и личных учетных записей электронной почты . Жертвами APT42 являются как минимум 14 стран, в том числе США, Австралия, страны Европы и Ближнего Востока, и среди них правительственные чиновники, бывшие иранские политики, члены иранской диаспоры и оппозиционных групп, журналисты и ученые.