More

    Mensagens de telegrama são um foco na campanha de hack recém-descoberta do Irã


    Prolongar / Rampant Kitty está mirando no Telegram como um felino para amarrar.

    Check Point

    Os pesquisadores disseram que descobriram uma campanha de vigilância em andamento que durante anos roubou uma ampla gama de dados em dispositivos Windows e Android usados ​​por expatriados e dissidentes iranianos.

    A campanha, que a empresa de segurança Check Point chamou de Rampant Kitten, compreende dois componentes principais, um para Windows e outro para Android. O objetivo do Rampant Kitten é roubar mensagens, senhas e códigos de autenticação de dois fatores do Telegram enviados por SMS e também fazer capturas de tela e gravar sons ao alcance da voz de um telefone infectado, disseram os pesquisadores em um post publicado na sexta-feira.

    O infostealer do Windows é instalado por meio de um documento do Microsoft Office com um título que se traduz aproximadamente como “O regime teme a propagação dos canhões revolucionários.docx”. Depois de aberto, ele pede aos leitores que habilitem macros. Se um usuário obedecer, uma macro maliciosa fará o download e instalará o malware. O infostealer do Android é instalado por meio de um aplicativo que se disfarça como um serviço para ajudar os falantes da língua persa na Suécia a obter sua carteira de motorista.

    “De acordo com as evidências que coletamos, os atores da ameaça, que parecem estar operando do Irã, tiram proveito de vários vetores de ataque para espionar suas vítimas, atacando os computadores pessoais e dispositivos móveis das vítimas”, escreveram os pesquisadores da Check Point em um relatório mais longo também publicado na sexta-feira. “Uma vez que a maioria dos alvos que identificamos são iranianos, parece que, da mesma forma que outros ataques atribuídos à República Islâmica, este pode ser mais um caso em que os agentes da ameaça iraniana estão coletando inteligência sobre potenciais oponentes do regimento.”

    O infostealer do Windows tem um interesse particular no Telegram. As contas de serviço falsas do Telegram enviam páginas de phishing que se apresentam como sites de login oficiais do Telegram. O malware também procura mensagens armazenadas no Telegram for Windows quando ele é instalado em computadores infectados. Para sobreviver a reinicializações, disse a Check Point, o infostealer sequestra o processo de atualização do Telegram for Windows, substituindo o arquivo Updater.exe oficial por um malicioso. (Tentei perguntar aos funcionários do Telegram se o serviço usa assinatura de código para evitar tal adulteração, mas não consegui entrar em contato com ninguém.)

    Senhas, mensagens e conversas são todas nossas

    A Check Point disse que outros recursos do malware do Windows incluem:

    • Carrega arquivos relevantes do Telegram do computador da vítima. Esses arquivos permitem que os invasores façam uso completo da conta do Telegram da vítima
    • Rouba informações do aplicativo de gerenciamento de senha KeePass
    • Carrega qualquer arquivo que possa encontrar que termine com extensões predefinidas
    • Registra dados da área de transferência e faz capturas de tela da área de trabalho

    Conforme observado anteriormente, o backdoor do Android tem como alvo senhas de uso único enviadas por SMS e registra conversas próximas. A Check Point disse que as evidências de registros DNS passivos – que registram outros domínios que usaram o mesmo endereço IP usado no Rampant Kitten – sugerem que os invasores estão ativos desde pelo menos 2014.

    Um relatório separado publicado pelo Miaan Group, uma organização de direitos humanos que se concentra em segurança digital no Oriente Médio, ecoou a pesquisa e acrescentou detalhes, incluindo a exfiltração de malware de dados do WhatsApp messenger.

    “Desde o início de 2018, os pesquisadores da Miaan rastreiam o malware usado em uma série de ataques cibernéticos contra dissidentes e ativistas iranianos”, escreveram os pesquisadores da organização. “A pesquisa descobriu centenas de vítimas de malware e ataques de phishing que roubaram dados, senhas, informações pessoais e muito mais.” Não ficou claro se esse malware incluía os infostealers detalhados pela Check Point.

    Os leitores devem lembrar que a capacidade de extrair dados do Telegram, KeePass ou WhatsApp de um computador infectado não é automaticamente uma indicação de malware especialmente sofisticado ou uma falha nos aplicativos direcionados. Para serem úteis, todos os três aplicativos precisam descriptografar o conteúdo quando o usuário precisar. Esse momento representa uma oportunidade para o malware já instalado obter as informações. As pessoas devem se lembrar de que raramente há bons motivos para habilitar macros em documentos do Office e que as mensagens que as permitem são um sinalizador vermelho.

    Ambos os relatórios fornecem indicadores abrangentes de comprometimento que as pessoas podem usar para determinar se foram visadas.


    Artigos Recentes

    ProBeat: o PayPal aumentará as criptomoedas ao mesmo tempo que enfraquece seu ethos

    O PayPal está entrando no mercado de criptomoedas "nas próximas semanas". A empresa de carteira digital permitirá que os clientes dos EUA...

    AI Weekly: maneiras construtivas de retomar o poder da Big Tech

    O Facebook lançou um conselho de supervisão independente e voltou a se comprometer com as reformas de privacidade nesta semana, mas depois de...

    Os dados devem emancipar as pessoas, diz o chefe de tecnologia dos democratas

    Nellwyn Thomas se especializou em tecnologia de campanha como vice-chefe de análises da campanha de Hillary Clinton em 2016. Fora da política, ela...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui