Во вторник иранский активист из Великобритании Нариман Гharib опубликовал в соцсетях предупреждение о фишинговой ссылке, которую получил через . Он призвал не переходить по подозрительным ссылкам, так как кампания была нацелена на людей, связанных с иранскими событиями.
Эта масштабная атака произошла на фоне беспрецедентного отключения интернета в Иране, когда по всей стране продолжаются массовые протесты и жесткие репрессии. Хакеры, по всей видимости, пытались украсть данные доступа к Gmail и другим сервисам, взломать аккаунты и вести слежку, получая доступ к геолокации, фотографиям и аудиозаписям жертв.
Точная принадлежность злоумышленников остается неизвестной — это могут быть как государственные агенты, шпионы, так и киберпреступники. Анализ показал, что злоумышленники использовали динамический DNS-сервис DuckDNS для маскировки настоящих адресов фишинговых сайтов, которые имитировали страницы входа в Gmail и .
Жертвы вводили свои логины, пароли и коды двухфакторной аутентификации, которые сохранялись на сервере злоумышленников. Среди пострадавших оказались ученые, политики, журналисты и бизнесмены из Ближнего Востока и США.
Кроме кражи учетных данных, злоумышленники просили жертв сканировать QR-код, что позволяло им получить полный доступ к аккаунтам и следить за местоположением и медиафайлами устройства.
Эксперты отмечают, что подобные методы характерны для атак, связанных с разведывательными операциями, возможно, связанных с Корпусом стражей исламской революции Ирана. Однако нельзя исключать и финансовую мотивацию, поскольку похищенные данные могут использоваться для кражи средств и корпоративной информации.
В целом, кампания охватила ограниченное число жертв, но ее характер и цели указывают на тщательно спланированную операцию, направленную на сбор информации о влиятельных лицах в регионе.
