Специалисты компании Check Point рассказали о хакерской группе Rampant Kitten, которая не менее шести лет следила за иранскими оппозиционными организациями, диссидентами и экспатами. Исследователи подчеркивают, что об отдельных атаках этой группировки ранее сообщали другие компании и журналисты, но расследование Check Point позволило связать несколько кампаний воедино и соотнести их с Rampant Kitten.

Для своих операций хакеры использовали разную малварь, включая четыре инфостилера для Windows, распространявшихся через вредоносные документы Microsoft Office, и бэкдор для Android, который обычно скрывался внутри вредоносных приложений. В частности, малварь нашли в приложении, помогавшем носителям персидского языка в Швеции получить водительские права.

Схема атаки Windows-малвари

Малварь для Windows в основном использовалась для кражи личных документов жертв, а также файлов десктопного клиента Telegram, которые в итоге позволяли хакерам получить доступ к учетной записи пользователя. Кроме того, вредоносы воровали  файлы менеджера паролей KeePass, перехватывали данные в буфере обмена и делали скриншоты.

Хотя основные вредоносы Rampant Kitten были ориентированы на Windows, исследователи также обнаружили мощный бэкдор для Android. Эта малварь может похитить список контактов и SMS-сообщения жертвы, а также незаметно следить за пользователем через микрофон устройства, делать скриншоты и заманивать на фишинговые страницы.

При этом особое внимание хакеры явно уделяли перехвату SMS-сообщений, а именно кодам двухфакторной аутентификации. Так, вредоносное ПО перехватывало и пересылало злоумышленникам любые сообщения, содержащее строку «G-», обычно использующуюся в качестве префикса в кодах 2ФА для учетных записей Google. Судя по всему, вместе с этим хакеры использовали Android-малварь для показа жертве фишинговой страницы Google, чтобы узнать учетные данные пользователя, а затем получить доступ к его учетной записи (ведь код двухфакторной аутентификации не был проблемой).

Также было замечено, что малварь автоматически пересылает злоумышленникам любые входящие SMS-сообщения от Telegram и других приложений социальных сетей. Такие сообщения тоже содержат коды 2ФА, то есть группировку определенно интересовали не только чужие аккаунты Google.

«После проведения исследования мы заметили несколько вещей. Во-первых, особое внимание уделялось слежке за обменом мгновенными сообщениями. Хотя Telegram нельзя расшифровать, его можно скомпрометировать. Во-вторых, мобильные, ПК и фишинговые атаки все являлись частью одной и той же операции», — комментирует специалист Check Point Лотем Финкельстин.

2 комментария

  1. Аватар

    KarolinKley

    22.09.2020 в 13:19

    Выбрал для себя действительно защищенный и анонимный браузер, без всяких взломов и хакеров, надоели уже.
    Utopia Ecosystem — пока рулят нормально, мне нравится. Кто-то что-то слышал ещё за них?

    • Аватар

      GrafaU

      23.09.2020 в 06:50

      Закрытый исходный код?
      Типа браузера Sphere?
      Нету исходников на гитхабе(интересно почему?) при этом присутствует авторизация(для чего?) Также непонятно что там за принцип п2п реализован.
      Кроме самовосхваления на оффф сайте нету никаких доказательств анонимности. Походу очередная утка от создателей Brave/Sphere , которые в свою очередь собирают данные об «анонимусах» и продают их дальше.
      Ничего личного, просто бизнес 😉

Оставить мнение