Os cibercriminosos responsáveis procuram, com esta campanha, controlar os dissidentes do regime, utilizando vários vetores de ataque, dos quais se destacam o sequestro de contas de Telegram, gravações áudio do microfone do telemóvel, a extração de códigos de dupla autenticação, entre outros.
Investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedora líder de soluções de cibersegurança a nível global, descobrem uma campanha de vigilância ativa há 6 anos levada a cabo por entidades iranianas que tem como alvos indivíduos dissidentes ao regime. Desde 2014, os cibercriminosos por detrás desta campanha têm utilizado vários vetores de ataques para espiar as suas vítimas, entre os quais se destacam o sequestro de contas de Telegram, a extração de códigos de dupla autenticação através de mensagens SMS, gravações telefónicas, o acesso a informações de contas KeePass e a distribuição de páginas maliciosas de phishing, através de contas falsas de Telegram.
As vítimas parecem ter sido selecionadas de entre organizações e movimentos de resistência ao regime em vigência, como Mujahedin-e Khalq, a Organização Nacional de Resistência do Azerbaijão e cidadãos do Baluchistão. Os principais vetores de ataque utlizados pelos cibercriminosos são:
Documentos maliciosos como isco
Os cibercriminosos utilizam documentos com malware para atacar as suas vítimas e roubar-lhes toda a informação que se encontra armazenada no dispositivo infetado. As aplicações alvo são, essencialmente, o Telegram Desktop e o KeePass, a famosa aplicação que permite uma gestão facilitada de palavras-passe. As principais características deste malware incluem:
Aplicação maliciosa de Android
Durante a sua investigação, a equipa da Check Point descobriu uma aplicação maliciosa de Android vinculada a estes cibercriminosos. A app tomava a identidade de um serviço que se propunha a auxiliar iranianos no processo de obtenção de carta de condução na Suécia, estando habilitada ao seguinte:
As vítimas parecem ter sido selecionadas de entre organizações e movimentos de resistência ao regime em vigência, como Mujahedin-e Khalq, a Organização Nacional de Resistência do Azerbaijão e cidadãos do Baluchistão. Os principais vetores de ataque utlizados pelos cibercriminosos são:
Documentos maliciosos como isco
Os cibercriminosos utilizam documentos com malware para atacar as suas vítimas e roubar-lhes toda a informação que se encontra armazenada no dispositivo infetado. As aplicações alvo são, essencialmente, o Telegram Desktop e o KeePass, a famosa aplicação que permite uma gestão facilitada de palavras-passe. As principais características deste malware incluem:
- Roubo de informação
- Os cibercriminosos apoderam-se de ficheiros do Telegram que permitem tomar total controlo da conta da vítima;
- Roubo de informação da aplicação KeePass;
- Possibilidade de cancelar qualquer extensão em vigor;
- Registar os dados do dispositivo móvel e fazer capturas de ecrã
- Persistência
- Implementação de um mecanismo de persistência baseado em procedimentos internos de atualização do Telegram.
Aplicação maliciosa de Android
Durante a sua investigação, a equipa da Check Point descobriu uma aplicação maliciosa de Android vinculada a estes cibercriminosos. A app tomava a identidade de um serviço que se propunha a auxiliar iranianos no processo de obtenção de carta de condução na Suécia, estando habilitada ao seguinte:
- Roubar mensagens SMS existentes;
- Reenviar mensagens de autenticação dupla para um número de telefone controlado pelo cibercriminoso;
- Aceder a informação pessoal, como contactos e detalhes das contas;
- Iniciar uma gravação telefónica;
- Realizar campanhas de phishing em contas Google;
- Aceder a informação do dispositivo, como aplicações instaladas e os processos em execução.
Phishing por meio do Telegram
Alguns dos websites nos quais foi descoberta a presença de atividade maliciosa albergavam também páginas de phishing que se faziam passar pelo Telegram. Surpreendentemente, várias contas iranianas de Telegram enviaram alertas relacionados com estas páginas, nos quais afirmavam que o regime iraniano estava por detrás das mesmas.
Um alvo deste tipo de ataque receberia uma mensagem do que parecia ser um bot oficial do Telegram, na qual era avisado de que a sua conta seria suspensa, por suspeitas de utilização indevida, caso não clicasse no link malicioso enviado de seguida. Uma outra forma de ataque utilizada pelos cibercriminosos baseava-se na criação de uma conta falsa do Telegram, a partir da qual eram enviadas mensagens aparentemente legítimas relativas a novas atualizações. Dias depois, seguia o link malicioso, sob o pretexto de suspeita de se tratar de uma conta falsa.
“A nossa investigação permitiu-nos compreender uma série de coisas interessantes. Em primeiro lugar, existe um grande interesse na espionagem por via de serviços de mensagens instantâneas. Embora o Telegram não possa ser descriptografado, é uma app claramente suscetível a sequestro, pelo que todos os utilizadores desta e de outras aplicações do género devem estar conscientes do risco da sua utilização. Em segundo lugar, os ataques de phishing a dispositivos móveis, computadores e páginas web podem estar interligados por uma mesma operação. Tal significa que a sua gestão está de acordo com a inteligência e interesses nacionais, em oposição aos desafios tecnológicos. Por este motivo, a Check Point continurá a monitorizar as diferentes zonas geográficas de todo o mundo para alertar para o surgimento de novas ciberameaças”, destaca Lotem Finkelsteen, diretor de Threat Intelligence da Check Point.
Este é um exemplo dos ciberriscos aos quais se expõem utilizadores de todo o mundo. Por este motivo, a Check Point reforça a sua recomendação habitual para que todos tomem as máximas precauções, recordando a importância de ferramentas especializadas de proteção como ZoneAlarm Exteme Security, que conta com uma extensão Chrome gratuita Anti-Phishing que analisa e elimina websites mesmo antes de o utilizador inserir informações pessoais.
Post A Comment:
0 comments: