O Google se juntou à Microsoft na publicação de informações sobre a atividade de influência cibernética do Irã após um aumento recente nos ataques que levaram ao vazamento de dados da campanha de reeleição de Trump.
O Threat Analysis Group (TAG) da gigante tecnológica confirmou que o Irão estava por trás o incidenteespecificamente seu grupo APT42, que faz parte do Corpo da Guarda Revolucionária Islâmica (IRGC).
Disse também que vários outros ataques foram frustrados antes disso, depois A atividade iraniana aumentou em maio. Ataques ativos que continuam a ser bloqueados incluem vários que têm como alvo as equipes do presidente Joe Biden, da vice-presidente e atual candidata presidencial democrata Kamala Harris, e de Donald Trump, que está disputando uma segunda vaga no Salão Oval.
O APT42 depende amplamente do que o TAG do Google chama de “Cluster C” phishing atividade – métodos diferenciados que estão em uso desde 2022, caracterizados por tentativas de se passar por ONGs e “Mailer Daemon”.
Essas tentativas de phishing também fazem uso do serviço de encurtamento de links da Bitly. Alvos como autoridades políticas e de defesa, assim como acadêmicos, são vítimas de spear-phishing com links para páginas de inscrição em conferências, por exemplo, ou recebem documentos hospedados na nuvem, ambos solicitando que o destinatário insira suas credenciais de usuário.
“Em maio e junho, os alvos do APT42 incluíam contas de e-mail pessoais de cerca de uma dúzia de indivíduos afiliados ao presidente Biden e ao ex-presidente Trump, incluindo funcionários atuais e antigos do governo dos EUA e indivíduos associados às respectivas campanhas”, TAG do Google disse.
“Bloqueamos inúmeras tentativas do APT42 de fazer login nas contas de e-mail pessoais de indivíduos visados.”
Como identificar um phishing APT42
Além da atividade do Cluster C já descrita, APT42 muitas vezes fará um pouco de engenharia social para dar início às coisas.
Uma tática comum é configurar videochamadas usando landing pages falsas e controladas pelo invasor. Os alvos recebem um link de ingresso por e-mail, que solicita credenciais de login, que são, é claro, roubadas porque não é um site real.
O Google Meet é falsificado muitas vezes, e o TAG disse que outros sites falsos do Google foram vistos em mais de 50 campanhas diferentes. Você deve ter cuidado extra com links do Dropbox, OneDrive e Skype também, disse o Google.
PDFs também podem ser enviados. O Google não disse exatamente o que são, mas provavelmente são benignos e usados apenas para construir confiança antes de mover a conversa para uma plataforma de mensagens como Sinal, Telegramaou O que você acha do WhatsApp?.
A partir daí, espera-se que os invasores enganem você para baixar um kit de coleta de credenciais. O GCollection (também conhecido como LCollection e YCollection) está em uso e em constante desenvolvimento desde janeiro de 2023, e é o kit que o Google considera o mais sofisticado que o APT42 usa.
Agora ele oferece suporte a um “fluxo contínuo”, incluindo recursos convincentes como MFA, PINs de dispositivo e códigos de recuperação únicos para plataformas de e-mail Google, Hotmail e Yahoo.
O DWP também pode ser descartado, geralmente por meio de um encurtador de URL, mas tem menos recursos que o GCollection.
“Esse spear phishing é apoiado por reconhecimento, usando ferramentas de marketing de código aberto e pesquisa de mídia social para identificar endereços de e-mail pessoais que podem não ter autenticação multifator padrão ou outras medidas de proteção comumente vistas em contas corporativas”, disse o Google.
“Depois que o APT42 obtém acesso a uma conta, eles geralmente adicionam mecanismos adicionais de acesso, incluindo a alteração de endereços de e-mail de recuperação e o uso de recursos que permitem aplicativos que não oferecem suporte à autenticação multifator, como senhas específicas de aplicativos no Gmail e senhas de aplicativos de terceiros no Yahoo. O Programa de Proteção Avançada do Google revoga e desabilita essas senhas específicas de aplicativos no Gmail, protegendo os usuários dessa tática.”
Ataques em Israel aumentam novamente
Táticas semelhantes de phishing e engenharia social foram observadas em ataques a autoridades israelenses nos setores militar, de defesa, acadêmico e de ONGs.
O TAG do Google notou o pico mais recente nessa atividade no final de julho, após atingir o pico original em abril. Os esforços de phishing do APT42 em Israel regularmente atingem picos e vales, embora nunca fiquem estáveis — sempre há um número baixo de ataques em andamento a qualquer momento.
O grupo, no entanto, usa iscas específicas para alvos israelenses, muitas das quais têm como tema o atual conflito entre o país e a Palestina.
Várias páginas da web imitando uma petição da Agência Judaica para Israel foram bloqueadas pelo Google após serem encontradas configuradas usando o Google Sites. A petição pedia o fim do conflito, mas apenas redirecionava os visitantes para páginas de phishing.
O APT42 também foi flagrado se passando por repórteres, entrando em contato diretamente com autoridades seniores para comentar histórias relacionadas a ataques com mísseis – tudo para construir um relacionamento com os alvos antes de tentar comprometer suas contas. ®
