Punto de control Los investigadores de amenazas han publicado nuevas divulgaciones sobre las actividades de Rampant Kitten, un Estado iraní Amenaza Persistente Avanzada (APT) que ha llevado a cabo una campaña de piratería durante seis años para espiar a sus víctimas, incluidos disidentes y miembros de la diáspora iraní global.
Dirigirse a dos aplicaciones principales: aplicación de mensajería segura Escritorio de Telegram y el administrador de contraseñas KeePass – Rampant Kitten utiliza predominantemente documentos con malware para atraer a sus objetivos a infectar sus dispositivos para que puedan robar credenciales y hacerse cargo de las cuentas, así como registrar datos del portapapeles y tomar capturas de pantalla de escritorio.
Utilizan un mecanismo de persistencia basado en el procedimiento de actualización interno de Telegram para mantener un punto de apoyo en los dispositivos de sus víctimas.
“Después de realizar nuestra investigación, varias cosas se destacaron”, dijo el gerente de inteligencia de amenazas de Check Point, Lotem Finkelsteen. “Primero, hay un enfoque sorprendente en la vigilancia de mensajería instantánea. Aunque Telegram no se puede encriptar, es evidente que se puede secuestrar. La vigilancia de la mensajería instantánea, especialmente en Telegram, es algo de lo que todos deben tener cuidado y ser conscientes.
“En segundo lugar, los ataques de phishing para dispositivos móviles, PC y web estaban todos conectados a la misma operación. Estas operaciones se gestionan de acuerdo con la inteligencia y los intereses nacionales, a diferencia de los desafíos tecnológicos. Continuaremos monitoreando diferentes geografías en todo el mundo para informar mejor al público sobre la seguridad cibernética «.
Check Point dijo que varios de los sitios web vinculados a la actividad de Rampant Kitten alojaban páginas de phishing que se hacían pasar por Telegram: varios canales genuinos de Telegram iraníes habían emitido advertencias a sus usuarios sobre estos sitios de phishing, alegando que el régimen estaba detrás de ellos.
Los mensajes de phishing enviados desde el sitio falso de Telegram advirtieron a sus destinatarios que estaban haciendo un uso inadecuado del servicio de Telegram y que su cuenta se bloquearía si no hacían clic en el enlace de phishing.
La investigación también descubrió evidencia de una aplicación de Android maliciosa vinculada a Rampant Kitten, que se hace pasar por un servicio diseñado para ayudar a los hablantes de persa que viven en Suecia a obtener una licencia de conducir.
En realidad, la aplicación actúa como una puerta trasera, lo que permite a los actores malintencionados robar mensajes SMS, reenviar mensajes de confirmación SMS de autenticación de dos factores a un número de teléfono controlado por ellos, filtrar los detalles de contacto y cuenta, así como información del dispositivo, como las aplicaciones instaladas. y ejecutar procesos, iniciar grabaciones de voz del entorno inmediato del dispositivo comprometido y realizar phishing en la cuenta de Google.
Las últimas revelaciones de Check Point se producen pocos días después de que el Departamento de Justicia de EE. UU. Acusara a dos ciudadanos iraníes, Hooman Heidarian y Mehdi Farhadi, en una acusación de 10 cargos que los acusa de haber llevado a cabo una campaña de piratería coordinada contra objetivos en EE. UU., Europa y Oriente Medio que incluidos disidentes, activistas de derechos humanos y líderes de la oposición.
«Estos ciudadanos iraníes supuestamente llevaron a cabo una amplia campaña en computadoras aquí en Nueva Jersey y en todo el mundo», dijo el fiscal estadounidense Craig Carpenito para el Distrito de Nueva Jersey. “Se infiltraron descaradamente en sistemas informáticos y atacaron la propiedad intelectual y, a menudo, intentaron intimidar a los enemigos percibidos de Irán, incluidos los disidentes que luchan por los derechos humanos en Irán y en todo el mundo.
«Esta conducta amenaza nuestra seguridad nacional y, como resultado, estos acusados son buscados por el FBI y se los considera fugitivos de la justicia».
Entre sus víctimas se encontraban universidades, grupos de expertos, contratistas de defensa, organizaciones de política exterior, ONG, organizaciones sin fines de lucro y otras entidades identificadas como «rivales o adversarios» del régimen iraní.
Además de robar datos confidenciales, los atacantes destrozaron sitios web y publicaron mensajes que parecían indicar la desaparición de los enemigos de Irán y su oposición interna.
Accedieron a los sistemas de sus víctimas utilizando varios métodos, incluido el secuestro de sesiones y la inyección SQL. Luego utilizaron registradores de pulsaciones de teclas y troyanos de acceso remoto (ratas) para mantener el acceso y monitorear a los usuarios. También se les acusa de desarrollar una herramienta de botnet que facilitó la propagación de malware y les permitió realizar ataques de denegación de servicio.