Хакеры годами воровали личные данные и прослушивали пользователей Telegram через Word-документ и Android-приложение

    image

    Исследователи Check Point заявили, что они раскрыли кампанию под названием Rampant Kitten, которую проводили иранские хакеры и цель которой состоит в краже сообщений Telegram, а также паролей и кодов двухфакторной аутентификации, отправленных по SMS. Кампания длится с 2014 года.

    Rampant Kitten использует зловред для кражи конфиденциальных данных для Windows и Android.

    image

    На Windows они устанавливаются через документ Microsoft Office с заголовком «The Regime Fears the Spread of the Revolutionary Cannons.docx». После его открытия запускается макрос, который загружает и устанавливает вредоносное ПО. Инфостилер Android устанавливается через приложение, которое маскируется под сервис помощи носителям персидского языка в Швеции в получении водительских прав.

    image

    «Согласно собранным нами свидетельствам, злоумышленники, которые, по всей видимости, действуют из Ирана, используют преимущества нескольких векторов атак, чтобы шпионить за своими жертвами, атакуя их персональные компьютеры и мобильные устройства», — говорят исследователи. Они предположили, что, как и в других случаях, эти атаки могут организовывать группировки, связанные с иранскими властями.

    При этом инфостилер для Windows при перезагрузке устройства перехватывает процесс обновления Telegram, подменяя официальный файл Updater.exe на вредоносный.

    Check Point сообщила, что вредонос может загружать файлы Telegram с компьютера жертвы, и это позволяет хакерам использовать целевой аккаунт. Также он похищает информацию из приложения менеджера паролей KeePass, загружает любой найденный файл с предопределенными расширениями, регистрирует данные буфера обмена и делает скриншоты рабочего стола.

    Инфостилер для Android не только перехватывает пароли аутентификации в SMS, но и записывает разговоры поблизости от целевого устройства.

    В другом отчете, опубликованном Miaan Group, правозащитной организацией, специализирующейся на цифровой безопасности на Ближнем Востоке, говорится о краже вредоносным ПО данных из мессенджера WhatsApp. Вредонос отслеживают с начала 2018 года. Его использовали в серии кибератак на иранских диссидентов и активистов.
    См. также: «Как мы внедрили скрытие аккаунтов в Telegram или #ДуровДобавьДвойноеДно»
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 14

      0

      Негодяи какие.

        +14
        Ага, но это трогает до глубины души:
        • На Windows они устанавливаются через документ Microsoft Office
        • на Android устанавливается через приложение (из гугловского плеймаркета на 99.999%), которое маскируется под сервис


        Хотя таким способом можно получить удаленный доступ со всеми плюшками.
        Но виноваты хакеры из Ирана и «дрявый» Телеграм. )))
        И заголовок ну прям сказка )))
        0
        маскируется под сервис помощи носителям персидского языка в Швеции в получении водительских прав.


        Ну офигеть какое количество пользователей затронуто! Прям полмира прослушивают!
          0
          У меня одного такие словосочетания улыбку вызывают?
            +13

            Интересно, если написать заголовок как "Хакеры из Ирана годами воровали данные через макрос в ворде и малварь в плеймаркете" боги копирайтинга накажут?

              0
              «Краткость,» конечно, «сестра таланта, но тёща гонорара».

              Последние два слова слова определяют «качество» многих «новосей» и довольно многих постов на Хабре, с этим все согласны (владельцы ресурса — из-аз роста показов, посетители — раз не уходят с ресурса, то как бы тоже «не против»).

              Рецепт-то известен: взять любую статью на любом ресурсе, перевести, приделать кликбейтный заголовок (желательно со словами «Телеграмм», «взломали», «запретить» и прочими, вызывающими реакцию русскоязычной аудитории) — профит! Нигде о качестве текста нет даже нужды беспокоиться, а «перевод» (читай: цельнотянутость с творческой обработкой — чтобы можно было сослаться, что клюква написана кем-то другим; это сразу повышает доверие и снимает претенции к качеству).

              В общем, ничего нового.
              +1
              Я все не пойму откуда в Иране такая развитая индустрия ИБ взломов.
                +1
                Видимо нас минусуют Иранские хакеры
                +6
                Думал, будет что-то интересное. Но нет, не в этот раз.
                пользователь запускает макрос
                Да, вот он, уязвимый компонент системы, вы его правильно идентифицировали.
                  0

                  Ох уж эти "вирусы" — такие коварные! требуют явного согласия на установку от пользователей

                    0

                    И потом ещё пару раз застенчиво просят разрешения для работы :)))

                    0

                    Зря по моему автора зачморили. Информация интересная, не удивлюсь если не только Иран подобным промышляет.

                      +2

                      Чем именно? Написанием зловредных макросов? Тут я согласен, Иран не уникален, каждый второй школьник хотя бы пытался.

                        –2
                        >> Чем именно? Написанием зловредных макросов?
                        Администрированием плеймаркета с малварью…
                        Как, разве это не Иран?
                        Вы не понимаете, это другое! :)

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое