Pesquisadores da Check Point desvendam uma operação de vigilância em andamento de 6 anos

Os invasores usaram documentos com malware para induzir as vítimas a desistir do controle de sua conta do Telegram. Os pesquisadores ainda descobriram um backdoor malicioso do Android

Compartilhar:

Pesquisadores de segurança no Check Point desvendaram uma operação de vigilância em andamento, administrada por entidades iranianas contra dissidentes do regime, há seis anos. Voltando a 2014, os invasores usaram vários vetores de ataque para espionar suas vítimas, incluindo sequestro de contas do Telegram, extração de códigos de autenticação de dois fatores de mensagens SMS, gravação do ambiente de áudio de um telefone, acesso a informações da conta KeePass e distribuição de phishing malicioso do Telegram páginas usando contas de serviço falsas do Telegram.

 

As vítimas parecem ter sido selecionadas a dedo de organizações anti-regime e movimentos de resistência, como Mujahedin-e Khalq, a Organização de Resistência Nacional do Azerbaijão e cidadãos do Baluchistão.

 

Vários vetores de ataque

 

Os invasores usaram documentos com malware para atrair as vítimas à infecção. A principal funcionalidade do malware é roubar o máximo de informações possível do dispositivo de destino. A carga útil tem como alvo dois aplicativos principais: Telegram Desktop e KeePass, o famoso armazenamento de senhas. Os principais recursos do malware incluem:

 

• Roubo de informações

 

o Carrega arquivos relevantes do Telegram do computador da vítima. Esses arquivos permitem que os invasores façam uso completo da conta do Telegram da vítima
o Rouba informações do aplicativo KeePass
o Carrega qualquer arquivo que possa encontrar que termine com extensões predefinidas
o Registra dados da área de transferência e faz capturas de tela da área de trabalho

 

• Persistência Única

 

o Implementa um mecanismo de persistência baseado no procedimento de atualização interna do Telegram

 

Android Backdoor

 

Durante a investigação, os pesquisadores da Check Point descobriram um aplicativo Android malicioso vinculado aos mesmos agentes de ameaça. O aplicativo se mascara como um serviço para ajudar os falantes de persa na Suécia a obter sua carteira de motorista. Este backdoor Android contém os seguintes recursos:

 

• Roubar mensagens SMS existentes
• Encaminhar mensagens SMS de autenticação de dois fatores para um número de telefone fornecido pelo servidor C&C controlado pelo invasor
• Recupere informações pessoais como contatos e detalhes de contas
• Inicie uma gravação de voz nas proximidades do telefone
• Realizar phishing na conta do Google
• Recupere informações do dispositivo, como aplicativos instalados e processos em execução

 

Outros possíveis vetores de ataque

 

Uma entrada de blog removida de 2018 acusou um especialista em cibersegurança de plágio, quando ele foi entrevistado pelo canal de notícias AlArabiya para discutir ciberataques iranianos. Acreditamos que esta página foi criada como parte de um ataque direcionado contra essa pessoa ou seus associados. O blog incluía um link para baixar um arquivo protegido por senha contendo evidências do plágio de `endupload [.] Com`. Parece que `endupload [.] Com` foi controlado pelos atacantes por anos, já que algumas das amostras maliciosas relacionadas a este ataque e datadas de 2014 se comunicaram com este site.

 

Citação: Lotem Finkelsteen, gerente de inteligência de ameaças da Check Point Software:

 

“Depois de conduzir nossa investigação, algumas coisas se destacaram. Primeiro, há um foco impressionante na vigilância de mensagens instantâneas. Embora o Telegram não possa ser decifrado, ele pode ser sequestrado. Vigilância de mensagens instantâneas, especialmente no Telegram, é algo que todos devem ser cautelosos e conscientes. Em segundo lugar, os ataques de phishing no celular, no PC e na web estão todos conectados à mesma operação. Ou seja, essas operações são geridas de acordo com a inteligência e os interesses nacionais, em oposição aos desafios tecnológicos. Continuaremos monitorando diferentes regiões em todo o mundo para informar melhor o público sobre a segurança cibernética.”

 

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...