Специалисты компании Check Point рассказали о хакерской группе Rampant Kitten, которая не менее шести лет следила за иранскими оппозиционными организациями, диссидентами и экспатами. Исследователи подчеркивают, что об отдельных атаках этой группировки ранее сообщали другие компании и журналисты, но расследование Check Point позволило связать несколько кампаний воедино и соотнести их с Rampant Kitten.

Для своих операций хакеры использовали разную малварь, включая четыре инфостилера для Windows, распространявшихся через вредоносные документы Microsoft Office, и бэкдор для Android, который обычно скрывался внутри вредоносных приложений. В частности, малварь нашли в приложении, помогавшем носителям персидского языка в Швеции получить водительские права.

Схема атаки Windows-малвари

Малварь для Windows в основном использовалась для кражи личных документов жертв, а также файлов десктопного клиента Telegram, которые в итоге позволяли хакерам получить доступ к учетной записи пользователя. Кроме того, вредоносы воровали файлы менеджера паролей KeePass, перехватывали данные в буфере обмена и делали скриншоты.

Хотя основные вредоносы Rampant Kitten были ориентированы на Windows, исследователи также обнаружили мощный бэкдор для Android. Эта малварь может похитить список контактов и SMS-сообщения жертвы, а также незаметно следить за пользователем через микрофон устройства, делать скриншоты и заманивать на фишинговые страницы.

При этом особое внимание хакеры явно уделяли перехвату SMS-сообщений, а именно кодам двухфакторной аутентификации. Так, вредоносное ПО перехватывало и пересылало злоумышленникам любые сообщения, содержащее строку «G-», обычно использующуюся в качестве префикса в кодах 2ФА для учетных записей Google. Судя по всему, вместе с этим хакеры использовали Android-малварь для показа жертве фишинговой страницы Google, чтобы узнать учетные данные пользователя, а затем получить доступ к его учетной записи (ведь код двухфакторной аутентификации не был проблемой).

Также было замечено, что малварь автоматически пересылает злоумышленникам любые входящие SMS-сообщения от Telegram и других приложений социальных сетей. Такие сообщения тоже содержат коды 2ФА, то есть группировку определенно интересовали не только чужие аккаунты Google.

«После проведения исследования мы заметили несколько вещей. Во-первых, особое внимание уделялось слежке за обменом мгновенными сообщениями. Хотя Telegram нельзя расшифровать, его можно скомпрометировать. Во-вторых, мобильные, ПК и фишинговые атаки все являлись частью одной и той же операции», — комментирует специалист Check Point Лотем Финкельстин.

Источник: xakep