Grupo criminoso iraniano se passava por estudiosos para roubar dados acadêmicos

Um grupo de criminosos com ligações diretas com o governo iraniano criou um golpe de phishing sofisticado para enganar acadêmicos de todo o mundo e roubar mensagens consideradas de interesse. A fraude, batizado como SpoofedScholers, foi relatada em detalhes pela Proofpoint e envolvia o uso de uma página comprometida e uma série de sites falsos que era usada para comprometer a segurança de pesquisadores.

• Hackers invadem servidores de Apex Legends e pedem: "salvem Titanfall"
• Hackers Éticos são o sistema imunológico da internet
• Saiba o que mudou e como a lei brasileira para cibercrimes está mais rígida

Os cibercriminosos do grupo TA453 (também conhecidos como Charming Kitten e Phosphorus) se passavam por membros da Escola de Estudos Orientais e Africanos da Universidade de Londres (SOAS) na abordagem dos alvos. Usando um site comprometido da instituição, eles entravam em contato estudiosos do Oriente Médio e jornalistas especializados na área, convidando-os a participar de uma conferência intitulada “Os Desafios de Segurança no Oriente Médio”.

Segundo a Proofpoint, os convites não eram feitos no primeiro contato: antes de ele surgir, longas conversas eram estabelecidas para ganhar a confiança das vítimas. Assim que isso acontecia, os cibercriminosos enviavam um link de registro ligado ao site comprometido, que foi configurado para roubar uma série de credenciais.

“É importante ressaltar que o TA453 também direcionou as contas de e-mails pessoais de pelo menos um de seus alvos”, explica a empresa de segurança. “Em e-mails de phishing seguintes, o TA453 mudou de tática e começou a fornecer o link de registro no início de seu envolvimento com o alvo, sem exigir uma conversa extensa”.

Hackers continuam a evoluir e se adaptar

Além da página comprometida do SOAS, o grupo também criava imitações de páginas de login de serviços como o Gmail, o iCloud e o Yahoo para enganar suas vítimas. A intenção dos cibercriminosos era usar as informações de login coletadas para ganhar acesso a e-mails e outros documentos sensíveis em uma ação de coleta de inteligência.

A Proofpoint afirma acreditar que a ação tem conexão direta com o Corpo da Guarda Revolucionária Islâmica (IRGC), braço das forças armadas iranianas, devido às suas similaridades com outros ataques realizados no passado. Segundo a companhia, essa é uma das operações mais sofisticadas do TA453 já registradas por ela até o momento.

Não se sabe se os cibercriminosos bem-sucedidos em suas ações, e o site comprometido foi consertado assim que os responsáveis por ele foram notificados do problema. “Para ser claro, a equipe acadêmica do SOAS, é claro, não tem envolvimento neste processo, nem qualquer ação ou declaração da equipe do SOAS os levou a serem falsificados dessa forma”, garantiu a instituição em um comunicado enviado ao ZDNet.

Segundo a Proofpoint, o TA453 continua a iterar e inovar em suas ações com a intenção de fornecer dados que apoiam as ações do IRGC. Ela alerta que estudiosos, jornalistas e membros de think tanks especializados no Oriente Médio continuarão sendo alvos do grupo e devem tomar cuidado com a identidade de indivíduos que prometem oportunidades em troca do registro de seus dados pessoais.

Fonte: ZDNet, Proofpoint