Un grupo de ciberespionaje que se cree que trabaja en nombre del gobierno iraní utilizó las recientes vacaciones de Navidad para lanzar una campaña de phishing móvil dirigida contra objetivos en el Golfo Pérsico, Europa y los EE. UU., Incluidos grupos de expertos, organizaciones de investigación política, profesores, periodistas y activistas ambientales.
El grupo de hackers conocido como Charming Kitten, APT35 o Phosphorous, envió mensajes de texto falsos de "Google Account Recovery" y correos electrónicos falsos con contenido navideño, según un nuevo informe del equipo de ciberseguridad CERFTA centrado en rastrear a los ciberdelincuentes iraníes y patrocinado por el estado. hackers.
“El grupo inició la nueva ronda de ataques en un momento en que la mayoría de las empresas, oficinas, organizaciones, etc. estaban cerradas o semicerradas durante las vacaciones de Navidad y, como resultado, su soporte técnico y los departamentos de TI no pudieron revisar de inmediato , identificar y neutralizar estos incidentes cibernéticos. Charming Kitten ha aprovechado al máximo este momento para ejecutar su nueva campaña con el máximo efecto ”, dijo el equipo.
Los piratas informáticos centraron sus ataques en las cuentas en línea de las personas, especialmente los correos electrónicos personales (Gmail, Yahoo! y Outlook) y los correos electrónicos comerciales (correos electrónicos de organizaciones y universidades). Una vez que comprometían una cuenta con credenciales robadas, robaban datos confidenciales de sus víctimas.
Para comprometer a los objetivos, el grupo utilizó dos métodos, uno de los cuales involucró un mensaje SMS falso de 'Recuperación de la cuenta de Google' aparentemente enviado por Google. El mensaje contenía un enlace, que finalmente conducía al usuario a los dominios finales de phishing.
En el segundo escenario, los piratas informáticos estaban enviando correos electrónicos falsos con títulos engañosos como "Feliz Navidad, y enviando notas / libros / fotos y otros", que generalmente son enviados por correos electrónicos previamente pirateados.
“Nuestro examen muestra que los piratas informáticos han utilizado una combinación de servicios como 'script.google.com' e 'iplogger.org' en esta campaña para crear una cadena de redireccionamiento para ocultar sus operaciones de piratería. Los enlaces de redirección inicialmente ayudan a eludir las capas de seguridad en los servicios de correo electrónico y luego brindan a los atacantes más control para redirigir el objetivo a la URL final ”, explicaron los investigadores de CERFTA.
“Charming Kitten ha estado constantemente activo en los últimos meses y ha ejecutado otros ataques al momento de redactar este informe. Al revisar los patrones de actividad relacionados de Charming Kitten y la información sobre la infraestructura utilizada por este grupo de piratería, creemos que el alcance y la escala de esta campaña es significativa en comparación con la actividad anterior de Charming Kitten ”, agregaron.
https://blog.certfa.com/posts/charming-kitten-christmas-gift/
