Хакеры, предположительно связанные с Тегераном, запустили новую кампанию кибершпионажа, целью которой стали сторонники антиправительственных протестов в Иране. Источник: The Record
Согласно данным швейцарской компании по кибербезопасности Acronis, эта активность началась в январе, сразу после вспышки массовых демонстраций против существующего в стране политического строя. Исследователи полагают, что злоумышленники решили воспользоваться дефицитом информации, возникшим из-за того, что иранские власти ввели масштабные ограничения на работу интернета для подавления освещения беспорядков.
В рамках шпионской кампании распространяются вредоносные архивы, содержащие подлинные видеозаписи протестов и текстовые отчеты на фарси, которые маскируются под актуальные новости из мятежных городов Ирана. Внутри таких архивов находятся два скрытых файла, выдающих себя за обычные медиафайлы, но на деле внедряющих в систему ранее не изученное вредоносное ПО под названием CRESCENTHARVEST. Эта программа сочетает в себе функции трояна удаленного доступа и инструмента для кражи данных. Она способна исполнять сторонние команды, фиксировать нажатия клавиш на клавиатуре и извлекать критически важную информацию, включая пароли, историю браузера, файлы cookie и полные данные учетных записей Telegram.
Одной из ключевых особенностей вируса является его способность обнаруживать установленные антивирусы. В зависимости от уровня защиты системы программа меняет тактику: она ведет себя агрессивно на слабозащищенных устройствах или минимизирует свою активность, чтобы оставаться незамеченной для сложных инструментов безопасности. Специалисты Acronis отмечают, что, хотя конкретная группировка еще не установлена, используемый код и инфраструктура указывают на связь с радикальными структурами, действующими в интересах Ирана.
По мнению экспертов, в условиях политической нестабильности кампания направлена прежде всего на иранцев, говорящих на фарси и поддерживающих протестное движение. Однако под угрозой оказываются также журналисты и международные активисты, пытающиеся получить достоверные сведения о происходящем внутри страны. С учетом блокировок интернета внутри самого Ирана исследователи делают вывод, что основными целями хакеров сейчас являются представители иранской диаспоры за рубежом и их иностранные сторонники. Хотя точный способ первоначального заражения еще выясняется, наиболее вероятными методами считаются целевой фишинг и приемы социальной инженерии, направленные на установление доверительных отношений с жертвой перед отправкой опасных файлов.
Напомним, иранские хакеры расширяют кибершпионаж, нацелившись на Европу и Северную Америку.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet