Utilizando los errores de los desarrolladores de Google, los atacantes recopilaron silenciosamente datos confidenciales de los usuarios. Los hackers informáticos vinculados al gobierno iraní están llevando a cabo una campaña de ingeniería social y phishing contra activistas de derechos humanos, periodistas, investigadores, académicos, diplomáticos y políticos que trabajan en el Medio Oriente.
Al menos 20 personas se convirtieron en sus víctimas. Así lo afirmó la organización Human Rights Watch. Durante la campaña, el correo electrónico se vio comprometido y se robaron datos confidenciales pertenecientes a tres objetivos:
- Corresponsal de un importante periódico estadounidense.
- Defensora de los Derechos de la Mujer del Golfo.
- El consultor de incidencia de Refugees International, Nicolas Noe, del Líbano.
Los atacantes obtuvieron acceso a:
- Email.
- Almacenamiento en la nube.
- Calendarios y contactos privados.
También robaron todos los datos asociados con las cuentas de Google en forma de archivos de almacenamiento a través de Google Takeout. La cadena de infección comienza cuando la víctima recibe un mensaje de WhatsApp sospechoso con el pretexto de una invitación a una conferencia.
El mensaje convence a la víctima de seguir un enlace a un sitio de phishing que imita una página de inicio de sesión de Microsoft, Google y Yahoo! y captura las credenciales que ingresaron.
15 de cada 20 víctimas recibieron los mismos mensajes de WhatsApp entre el 15 de septiembre y el 25 de noviembre. Estas páginas de phishing también se pueden usar en un ataque AiTM para comprometer las cuentas de autenticación de dos factores (2FA).
HRW también citó debilidades en las herramientas de seguridad de Google, ya que las alertas de seguridad debido a la actividad de la cuenta de Google no muestran ninguna notificación.
Debido a esto, las víctimas de los ataques ni siquiera sabían que sus cuentas de Gmail estaban comprometidas o sus datos se cargaron a través de Google Takeout. La actividad de amenazas es indicativa de una campaña más amplia que utiliza acortadores de URL para dirigir a las víctimas a páginas de phishing.
Este comportamiento es típico de los grupos APT asociados con Irán, como APT42 y Phosphorus. Anteriormente, los investigadores de Mandiant notaron que el grupo APT42 opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica (IRGC), y sus tácticas, técnicas y procedimientos (TTP) son muy similares a APT35, otro grupo iraní conocido como Charming Kitten and Phosphorus.
APT42 favorece el phishing selectivo contra cuentas de correo electrónico corporativas y personales. Las víctimas de APT42 incluye al menos 14 países, incluidos EE.UU., Australia, Europa y Medio Oriente, e incluyen funcionarios gubernamentales, ex políticos iraníes, miembros de la diáspora iraní y grupos de oposición, periodistas y académicos.
