Irańczycy Irańczykom

Specjaliści z firmy SafeBreach Labs odkryli aktywność irańskich cyberprzestępców polegającą na wykradaniu danych uwierzytelniających do kont w serwisach Google'a i na platformie Instagram. Pozyskanie tych danych jest możliwe dzięki wykorzystaniu techniki spear-phishingu i luki bezpieczeństwa w pakiecie Microsoft Office.

Jak wygląda atak? Przestępcy wysyłają do wybranej ofiary wiadomość e-mailową wyglądającą na pochodzącą od zaufanego nadawcy. List zawiera w załączniku plik Worda; po otwarciu przez użytkownika infekuje on urządzenie, na którym następnie wykonywany jest złośliwy skrypt o nazwie PowerShortShell. Błąd w pakiecie MS Office, który umożliwia zdalne wykonanie kodu, znany jest jako CVE-2021-40444 i został odkryty we wrześniu bieżącego roku.

Hakerzy za pomocą złośliwego oprogramowania zbierają także informacje systemowe i kontrolują aktywność użytkowników komunikatora Telegram. Wszystkie zebrane dane wysyłane są na zdalne serwery atakujących.

Tomer Bar, dyrektor ds. badań nad bezpieczeństwem w firmie SafeBreach Labs powiedział, że prawie połowa zaatakowanych to mieszkańcy Stanów Zjednoczonych. Na podstawie zebranych danych i treści przesyłanego pliku MS Word analitycy uważają, że ofiarami mogą być Irańczycy postrzegani przez władze Iranu jako zagrożenie.

fot. FotoArt-Treu – Pixabay