Wireless Attacks

[Wireless Attacks][bsummary]

WHATSAPP

[WHATSAPP][twocolumns]

SISTEMA OPERACIONAL

[SISTEMA OPERACIONAL][bleft]

CURSOS

[CURSOS][grids]

Um novo spyware está visando usuários de VPN de telegram e Psiphon no Iran

 

Atores de ameaças com suspeitas de ligações com o Iran foram encontrados para alavancar mensagens instantâneas e aplicativos VPN como Telegram e Psiphon para instalar um cavalo de Troia de acesso remoto (RAT) do Windows capaz de roubar informações confidenciais dos dispositivos dos alvos desde pelo menos 2015.


A empresa russa de segurança cibernética Kaspersky, que montou a atividade, atribuiu a campanha a um grupo de ameaça persistente avançada (APT) que rastreia como Ferocious Kitten, um grupo que selecionou indivíduos de língua persa supostamente baseados no país enquanto operavam com sucesso sob o radar .


"A segmentação de Psiphon e Telegram, sendo que ambos são serviços muito populares no Iran, sublinha o fato de que as cargas foram desenvolvidos com o objetivo de orientar os usuários iranianos em mente," Global Research da Kaspersky e Análise da equipe (grande) disse .


"Além disso, o conteúdo falso exibido pelos arquivos maliciosos muitas vezes fazia uso de temas políticos e imagens ou vídeos envolvidos de bases de resistência ou ataques contra o regime iraniano, sugerindo que o ataque é dirigido a possíveis apoiadores de tais movimentos dentro do país."


As descobertas da Kaspersky emergem de dois documentos transformados em armas que foram carregados para o VirusTotal em julho de 2020 e março de 2021 que vêm incorporados com macros, que, quando habilitadas, descartam cargas úteis do próximo estágio para implantar um novo implante chamado MarkiRat .


O backdoor permite que os adversários tenham amplo acesso aos dados pessoais da vítima, incluindo recursos para gravar pressionamentos de tecla, capturar conteúdo da área de transferência, baixar e enviar arquivos, bem como a capacidade de executar comandos arbitrários na máquina da vítima.



No que parece ser uma tentativa de expandir seu arsenal, os invasores também experimentaram diferentes variantes do MarkiRat que interceptavam a execução de aplicativos como Google Chrome e Telegram para iniciar o malware e mantê-lo persistentemente ancorado ao computador ao mesmo tempo tempo também tornando muito mais difícil ser detectado ou removido. Um dos artefatos descobertos também inclui uma versão backdoor do Psiphon; uma ferramenta VPN de código aberto frequentemente usada para evitar a censura na Internet.


Outra variante recente envolve um downloader simples que recupera um executável de um domínio codificado, com os pesquisadores observando que "o uso desta amostra diverge daqueles usados ​​pelo grupo no passado, onde a carga foi descartada pelo próprio malware, sugerindo que o grupo pode estar em processo de alteração de alguns de seus TTPs. "


Além do mais, a infraestrutura de comando e controle também tem aplicativos Android hospedados na forma de arquivos DEX e APK, aumentando a possibilidade de que o agente da ameaça também esteja simultaneamente desenvolvendo malware voltado para usuários móveis.


Curiosamente, as táticas adotadas pelo adversário se sobrepõem a outros grupos que operam contra alvos semelhantes, como Gatinho Doméstico e Gatinho Rampant, com Kaspersky encontrando paralelos na maneira como o ator usou o mesmo conjunto de servidores C2 por longos períodos de tempo e tentou reúna informações do gerenciador de senhas KeePass.


"Ferocious Kitten é um exemplo de ator que opera em um ecossistema mais amplo com o objetivo de rastrear indivíduos no Irã", concluíram os pesquisadores. "Esses grupos de ameaças não parecem ser cobertos com tanta frequência e podem, portanto, se safar com a reutilização casual de infraestrutura e conjuntos de ferramentas, sem se preocupar se eles serão removidos ou sinalizados por soluções de segurança."

ATENÇÂO:

Estamos voltando com os Cursos


Nenhum comentário :