Securitate IT Gmail și Telegram compromise de hackeri în serviciul regimului iranian
O campanie de supraveghere desfășurată de serviciile iraniene împotriva disidenților regimului, care a durat șase ani, a ieșit la iveală. Din 2014, Rampant Kitten (grupul de hacking din spatele acestei campanii) a lansat atacuri pentru a spiona victimele lor, inclusiv deturnarea conturilor Telegram, extragerea codurilor de autentificare cu doi factori prin mesaje text, înregistrări telefonice, accesarea informațiilor despre contul KeePass și distribuirea programelor rău intenționate pagini de phishing folosind conturi de servicii Telegram false.
Au folosit documente rău intenționate pentru a-și ataca victimele și a fura cât mai multe informații stocate pe dispozitivul infectat. Documentul intitulat „Regimul se teme de răspândirea tunurilor revoluționare.docx” a permis Rampant Kitten să își efectueze atacurile. Odată deschis, fișierul a încărcat un document șablon de pe un server la distanță (afalr-sharepoint [.] Com), care se maschează ca un site web al unei organizații non-profit care ajută disidenții iranieni. Apoi ar descărca codul macro rău intenționat, care rulează un script batch pentru a descărca și rula o sarcină utilă a pasului următor. Această sarcină utilă verifică apoi dacă serviciul de poștă Telegram este instalat pe sistemul victimelor. Dacă da, extrage trei executabile din resursele sale. Aceste fișiere executabile includ hoțul de informații care preia fișierele Telegram de pe computerul victimei, fură informații din aplicația de gestionare a parolelor KeePass, descarcă orice fișier care se termină cu un set de extensii predefinite, salvează datele din clipboard și face capturi de ecran. Rampant Kitten folosește, de asemenea, pagini de phishing pentru a identifica Telegram.