Grupo criminoso iraniano se passava por estudiosos para roubar dados acadêmicos

Por Felipe Gugelmin | Editado por Claudio Yuge | 13 de Julho de 2021 às 21h00
Divulgação

Um grupo de criminosos com ligações diretas com o governo iraniano criou um golpe de phishing sofisticado para enganar acadêmicos de todo o mundo e roubar mensagens consideradas de interesse. A fraude, batizado como SpoofedScholers, foi relatada em detalhes pela Proofpoint e envolvia o uso de uma página comprometida e uma série de sites falsos que era usada para comprometer a segurança de pesquisadores.

Os cibercriminosos do grupo TA453 (também conhecidos como Charming Kitten e Phosphorus) se passavam por membros da Escola de Estudos Orientais e Africanos da Universidade de Londres (SOAS) na abordagem dos alvos. Usando um site comprometido da instituição, eles entravam em contato estudiosos do Oriente Médio e jornalistas especializados na área, convidando-os a participar de uma conferência intitulada “Os Desafios de Segurança no Oriente Médio”.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Segundo a Proofpoint, os convites não eram feitos no primeiro contato: antes de ele surgir, longas conversas eram estabelecidas para ganhar a confiança das vítimas. Assim que isso acontecia, os cibercriminosos enviavam um link de registro ligado ao site comprometido, que foi configurado para roubar uma série de credenciais.

O site modificado usado pelo TA453 Imagem: Divulgação/Proofpoint

“É importante ressaltar que o TA453 também direcionou as contas de e-mails pessoais de pelo menos um de seus alvos”, explica a empresa de segurança. “Em e-mails de phishing seguintes, o TA453 mudou de tática e começou a fornecer o link de registro no início de seu envolvimento com o alvo, sem exigir uma conversa extensa”.

Hackers continuam a evoluir e se adaptar

Além da página comprometida do SOAS, o grupo também criava imitações de páginas de login de serviços como o Gmail, o iCloud e o Yahoo para enganar suas vítimas. A intenção dos cibercriminosos era usar as informações de login coletadas para ganhar acesso a e-mails e outros documentos sensíveis em uma ação de coleta de inteligência.

A Proofpoint afirma acreditar que a ação tem conexão direta com o Corpo da Guarda Revolucionária Islâmica (IRGC), braço das forças armadas iranianas, devido às suas similaridades com outros ataques realizados no passado. Segundo a companhia, essa é uma das operações mais sofisticadas do TA453 já registradas por ela até o momento.

O convite enviado pelos hackers Imagem: Divulgação/Proofpoint

Não se sabe se os cibercriminosos bem-sucedidos em suas ações, e o site comprometido foi consertado assim que os responsáveis por ele foram notificados do problema. “Para ser claro, a equipe acadêmica do SOAS, é claro, não tem envolvimento neste processo, nem qualquer ação ou declaração da equipe do SOAS os levou a serem falsificados dessa forma”, garantiu a instituição em um comunicado enviado ao ZDNet.

Segundo a Proofpoint, o TA453 continua a iterar e inovar em suas ações com a intenção de fornecer dados que apoiam as ações do IRGC. Ela alerta que estudiosos, jornalistas e membros de think tanks especializados no Oriente Médio continuarão sendo alvos do grupo e devem tomar cuidado com a identidade de indivíduos que prometem oportunidades em troca do registro de seus dados pessoais.

Fonte: ZDNet, Proofpoint

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.