Целями киберпреступников являются израильские ученые из университетов Хайфы и Тель-Авива, а также госслужащие США.
Иранская киберпреступная группировка Charming Kitten (также известная как APT35 и Ajax) организовала новую вредоносную кампанию, в рамках которой злоумышленники выдают себя за персоязычных журналистов в WhatsApp и LinkedIn, чтобы обманом заставить жертв открывать вредоносные ссылки. Целями киберпреступников являются израильские ученые из университетов Хайфы и Тель-Авива, а также государственные служащие США.
По словам специалистов из компании Clearsky, новая кампания группировки была зафиксирована в июле нынешнего года. Злоумышленники притворяются известными журналистами изданий Deutsche Welle и Jewish Journal, отправляют сообщения своим целям по электронной почте и осуществляют звонки в WhatsApp. Для большей правдоподобности киберпреступники также создали поддельные профили в социальной сети LinkedIn, соответствующие именам журналистов. Конечная цель — убедить жертву щелкнуть по вредоносной ссылке, которая ведет пользователей на фишинговую страницу для кражи учетных данных.
«Вредоносная ссылка встроена в легитимный, скомпрометированный с помощью атаки типа waterhole домен Deutsche Welle. Каждая жертва получает персональную ссылку, привязанную к ее конкретной учетной записи электронной почты. Мы обнаружили попытку отправить жертве вредоносный ZIP-файл в дополнение к сообщению, которое было отправлено жертве через поддельный профиль LinkedIn», — пояснили эксперты.
В последней кампании Charming Kitten использовала надежную, хорошо разработанную учетную запись LinkedIn для поддержки своих адресных фишинговых атак по электронной почте. Злоумышленники также были готовы разговаривать по телефону напрямую с жертвой, используя звонки в WhatsApp. Как отметили в Clearsky, подобная тактика встречается редко и ставит под угрозу вымышленную личность злоумышленников.
Злоумышленники пытаются завязать разговор с жертвой с целью завоевать доверие.
Источник: securitylab