Pesquisadores da Check Point desvendam uma operação de vigilância em andamento de 6 anos

Os invasores usaram documentos com malware para induzir as vítimas a desistir do controle de sua conta do Telegram. Os pesquisadores ainda descobriram um backdoor malicioso do Android

Compartilhar:

Pesquisadores de segurança no Check Point desvendaram uma operação de vigilância em andamento, administrada por entidades iranianas contra dissidentes do regime, há seis anos. Voltando a 2014, os invasores usaram vários vetores de ataque para espionar suas vítimas, incluindo sequestro de contas do Telegram, extração de códigos de autenticação de dois fatores de mensagens SMS, gravação do ambiente de áudio de um telefone, acesso a informações da conta KeePass e distribuição de phishing malicioso do Telegram páginas usando contas de serviço falsas do Telegram.

 

As vítimas parecem ter sido selecionadas a dedo de organizações anti-regime e movimentos de resistência, como Mujahedin-e Khalq, a Organização de Resistência Nacional do Azerbaijão e cidadãos do Baluchistão.

 

Vários vetores de ataque

 

Os invasores usaram documentos com malware para atrair as vítimas à infecção. A principal funcionalidade do malware é roubar o máximo de informações possível do dispositivo de destino. A carga útil tem como alvo dois aplicativos principais: Telegram Desktop e KeePass, o famoso armazenamento de senhas. Os principais recursos do malware incluem:

 

• Roubo de informações

 

o Carrega arquivos relevantes do Telegram do computador da vítima. Esses arquivos permitem que os invasores façam uso completo da conta do Telegram da vítima
o Rouba informações do aplicativo KeePass
o Carrega qualquer arquivo que possa encontrar que termine com extensões predefinidas
o Registra dados da área de transferência e faz capturas de tela da área de trabalho

 

• Persistência Única

 

o Implementa um mecanismo de persistência baseado no procedimento de atualização interna do Telegram

 

Android Backdoor

 

Durante a investigação, os pesquisadores da Check Point descobriram um aplicativo Android malicioso vinculado aos mesmos agentes de ameaça. O aplicativo se mascara como um serviço para ajudar os falantes de persa na Suécia a obter sua carteira de motorista. Este backdoor Android contém os seguintes recursos:

 

• Roubar mensagens SMS existentes
• Encaminhar mensagens SMS de autenticação de dois fatores para um número de telefone fornecido pelo servidor C&C controlado pelo invasor
• Recupere informações pessoais como contatos e detalhes de contas
• Inicie uma gravação de voz nas proximidades do telefone
• Realizar phishing na conta do Google
• Recupere informações do dispositivo, como aplicativos instalados e processos em execução

 

Outros possíveis vetores de ataque

 

Uma entrada de blog removida de 2018 acusou um especialista em cibersegurança de plágio, quando ele foi entrevistado pelo canal de notícias AlArabiya para discutir ciberataques iranianos. Acreditamos que esta página foi criada como parte de um ataque direcionado contra essa pessoa ou seus associados. O blog incluía um link para baixar um arquivo protegido por senha contendo evidências do plágio de `endupload [.] Com`. Parece que `endupload [.] Com` foi controlado pelos atacantes por anos, já que algumas das amostras maliciosas relacionadas a este ataque e datadas de 2014 se comunicaram com este site.

 

Citação: Lotem Finkelsteen, gerente de inteligência de ameaças da Check Point Software:

 

“Depois de conduzir nossa investigação, algumas coisas se destacaram. Primeiro, há um foco impressionante na vigilância de mensagens instantâneas. Embora o Telegram não possa ser decifrado, ele pode ser sequestrado. Vigilância de mensagens instantâneas, especialmente no Telegram, é algo que todos devem ser cautelosos e conscientes. Em segundo lugar, os ataques de phishing no celular, no PC e na web estão todos conectados à mesma operação. Ou seja, essas operações são geridas de acordo com a inteligência e os interesses nacionais, em oposição aos desafios tecnológicos. Continuaremos monitorando diferentes regiões em todo o mundo para informar melhor o público sobre a segurança cibernética.”

 

 

Conteúdos Relacionados

Security Report | Overview

Itaú Unibanco lança campanha nacional de Marketing sobre Segurança e fraudes

Filmes serão exibidos na programação da TV Globo; campanha faz parte da estratégia para posicionamento do Itaú como banco referência...
Security Report | Overview

Brasil é uma das principais origens de ataques de DoS, aponta levantamento

Relatório da ISH Tecnologia também apresenta tentativas de logins mais usadas por criminosos, entre outros dados
Security Report | Overview

27% dos ataques cibernéticos na América Latina miram infraestrutura crítica

Pesquisa da Kaspersky também revela problemas no setor de transporte e manufatura
Security Report | Overview

Paris 2024: pesquisa revela que os Jogos estão em alto risco de ciberataques

De acordo com a Unit 42, os ciberataques são as principais ameaças ao evento esportivo mais importante do ano, com...