De acordo com o Google, um grupo de hackers iranianos que tentou invadir a campanha presidencial dos EUA no ano passado continua a lançar ataques generalizados, mudando constantemente de tática para induzir as vítimas a clicar em links maliciosos.
Fonte: freepik.com
Este grupo de hackers é conhecido por vários nomes: APT35, Phosphorous, Charming Kitten e Ajax Security. Por vários anos, de acordo com o Google, ele “sequestrou contas, implantou malware e usou técnicas avançadas de espionagem para o governo iraniano”. Os alvos do APT35 são as contas de departamentos governamentais, jornalistas, organizações sem fins lucrativos, política externa e agências de segurança nacional – qualquer pessoa que desempenhe um papel na formação da opinião da comunidade internacional sobre o Irã.
Uma das técnicas que o grupo usa desde 2017 é o hacking de sites, o que torna mais fácil convencer as vítimas a clicar em links de phishing. No início de 2021, o APT35 enviou e-mails com links para um site falso, solicitando aos usuários que ativassem um convite de webinar ao fazer login, em uma tentativa de coletar credenciais de suas contas do Gmail e do Yahoo !. Em julho de 2021, sob o pretexto da autoridade da Escola de Estudos Orientais e Africanos de Londres (SOAS), os hackers registraram várias contas do Gmail e criaram um site falso se passando por cientistas para coletar dados das pessoas que eram seus alvos. Ao mesmo tempo, o recurso fictício estava associado não à própria instituição de ensino, mas às suas subdivisões – uma emissora de rádio e uma produtora.
Fonte: freepik.com
No ano passado, o APT35 tentou baixar um aplicativo espião da Google Play Store disfarçado de cliente VPN. Na realidade, o aplicativo coletava informações confidenciais: registros de chamadas, mensagens de texto e dados de localização do dispositivo. O Google o encontrou e removeu antes mesmo de as pessoas começarem a instalá-lo. Em julho de 2021, o grupo começou a almejar outras plataformas também. Os hackers também se fizeram passar pelos organizadores das conferências de Segurança de Munique e Think-20 Itália – no início, eles enviaram cartas inofensivas para vítimas em potencial, depois entraram em correspondência com elas, durante as quais enviaram links de phishing.
Shane Huntley, diretor de cibersegurança do Google no Threat Analysis Group, disse que, apesar dos ataques generalizados, a probabilidade de sucesso do APT35 diminui à medida que o Google aprende mais sobre a campanha.