Malware prosto z Teheranu

Grupa wykorzystywała fikcyjne tożsamości w celu nawiązania kontaktu z wybranymi użytkownikami Facebooka i zdobycia ich zaufania, co trwało czasami nawet kilka miesięcy. Gdy udało się to osiągnąć, użytkownika przekierowywano na strony WWW zawierające odsyłacze, których kliknięcie skutkowało zainstalowaniem oprogramowania szpiegującego na urządzeniu ofiary.

Facebook poinformował, że w celu zwiększenia własnej wiarygodności hakerzy założyli profile również na innych platformach społecznościowych. Przestępcy często podawali się za rekrutów lub pracowników związanych z przemysłem obronnym USA.

Twitter intensywnie sprawdza dane zawarte w raporcie Facebooka. Przedstawiciel należącego do Microsoftu serwisu LinkedIn powiedział natomiast, że z portalu usunięto wiele kont.

Grupa korzystała również z poczty elektronicznej i komunikatorów w celu rozpowszechniania złośliwego oprogramowania, m.in. za pośrednictwem odpowiednio spreparowanych arkuszy kalkulacyjnych Excela. Rzecznik Microsoftu oświadczył, że koncern wiedział o tym procederze, śledzi na bieżąco rozwój sytuacji i podejmuje odpowiednie działania, gdy wykryje podejrzaną aktywność.

Hakerzy posługiwali się adresami o nazwach mających przyciągnąć uwagę ofiar, zakładając fałszywe strony rekrutacyjne firm z branży obronnej. Utworzyli też infrastrukturę sieciową, dzięki której podszyli się pod legalną wyszukiwarkę ofert prowadzoną przez Departament Pracy USA. Obiektem zainteresowania przestępców były głównie osoby mieszkające w Stanach Zjednoczonych, a także w Wielkiej Brytanii i Europie kontynentalnej.

Dochodzenie wykazało, że część szkodliwego oprogramowania wykorzystywanego przez grupę została opracowana przez Mahak Rayan Afraz (MRA) – firmę informatyczną mającą siedzibę w Teheranie i związaną z Korpusem Strażników Rewolucji Islamskiej.

fot. Pixabay