.
O Google se juntou à Microsoft na publicação de informações sobre a atividade de influência cibernética do Irã após um aumento recente nos ataques que levaram ao vazamento de dados da campanha de reeleição de Trump.
O Grupo de Análise de Ameaças (TAG) da gigante da tecnologia confirmou que o Irã estava por trás do incidente, especificamente seu grupo APT42, que faz parte do Corpo da Guarda Revolucionária Islâmica (IRGC).
Também disse que vários outros ataques foram frustrados antes disso, depois que a atividade iraniana aumentou em maio. Ataques ativos que continuam a ser bloqueados incluem vários que têm como alvo as equipes do presidente Joe Biden, a vice-presidente e atual candidata presidencial democrata Kamala Harris, e Donald Trump, que está disputando uma segunda vaga no Salão Oval.
O APT42 depende amplamente do que o TAG do Google chama de atividade de phishing “Cluster C” — métodos diferenciados que estão em uso desde 2022, caracterizados por tentativas de se passar por ONGs e “Mailer Daemon”.
Essas tentativas de phishing também fazem uso do serviço de encurtamento de links da Bitly. Alvos como autoridades políticas e de defesa, assim como acadêmicos, são vítimas de spear-phishing com links para páginas de inscrição em conferências, por exemplo, ou recebem documentos hospedados na nuvem, ambos solicitando que o destinatário insira suas credenciais de usuário.
“Em maio e junho, os alvos do APT42 incluíam contas de e-mail pessoais de cerca de uma dúzia de indivíduos afiliados ao presidente Biden e ao ex-presidente Trump, incluindo autoridades atuais e antigas do governo dos EUA e indivíduos associados às respectivas campanhas”, disse o TAG do Google.
“Bloqueamos inúmeras tentativas do APT42 de fazer login nas contas de e-mail pessoais de indivíduos visados.”
Como identificar um phishing APT42
Além da atividade do Cluster C já descrita, o APT42 frequentemente fará um pouco de engenharia social para dar início às coisas.
Uma tática comum é configurar videochamadas usando landing pages falsas e controladas pelo invasor. Os alvos recebem um link de ingresso por e-mail, que solicita credenciais de login, que são, é claro, roubadas porque não é um site real.
O Google Meet é falsificado muitas vezes, e o TAG disse que outros sites falsos do Google foram vistos em mais de 50 campanhas diferentes. Você deve ter cuidado extra com links do Dropbox, OneDrive e Skype também, disse o Google.
PDFs também podem ser enviados. O Google não disse exatamente o que são, mas provavelmente são inofensivos e usados apenas para construir confiança antes de mover a conversa para uma plataforma de mensagens como Signal, Telegram ou WhatsApp.
A partir daí, espera-se que os invasores enganem você para baixar um kit de coleta de credenciais. O GCollection (também conhecido como LCollection e YCollection) está em uso e em constante desenvolvimento desde janeiro de 2023, e é o kit que o Google considera o mais sofisticado que o APT42 usa.
Agora ele oferece suporte a um “fluxo contínuo”, incluindo recursos convincentes como MFA, PINs de dispositivo e códigos de recuperação únicos para plataformas de e-mail Google, Hotmail e Yahoo.
O DWP também pode ser descartado, geralmente por meio de um encurtador de URL, mas tem menos recursos que o GCollection.
“Esse spear phishing é apoiado por reconhecimento, usando ferramentas de marketing de código aberto e pesquisa de mídia social para identificar endereços de e-mail pessoais que podem não ter autenticação multifator padrão ou outras medidas de proteção comumente vistas em contas corporativas”, disse o Google.
“Depois que o APT42 obtém acesso a uma conta, eles geralmente adicionam mecanismos adicionais de acesso, incluindo a alteração de endereços de e-mail de recuperação e o uso de recursos que permitem aplicativos que não oferecem suporte à autenticação multifator, como senhas específicas de aplicativos no Gmail e senhas de aplicativos de terceiros no Yahoo. O Programa de Proteção Avançada do Google revoga e desabilita essas senhas específicas de aplicativos no Gmail, protegendo os usuários dessa tática.”
Ataques em Israel aumentam novamente
Táticas semelhantes de phishing e engenharia social foram observadas em ataques a autoridades israelenses nos setores militar, de defesa, acadêmico e de ONGs.
O TAG do Google notou o pico mais recente nessa atividade no final de julho, após atingir o pico original em abril. Os esforços de phishing do APT42 em Israel regularmente atingem picos e vales, embora nunca fiquem estáveis — sempre há um número baixo de ataques em andamento a qualquer momento.
O grupo, no entanto, usa iscas específicas para alvos israelenses, muitas das quais têm como tema o atual conflito entre o país e a Palestina.
Várias páginas da web imitando uma petição da Agência Judaica para Israel foram bloqueadas pelo Google após serem encontradas configuradas usando o Google Sites. A petição pedia o fim do conflito, mas apenas redirecionava os visitantes para páginas de phishing.
O APT42 também foi flagrado se passando por repórteres, entrando em contato diretamente com autoridades seniores para comentar histórias relacionadas a ataques com mísseis – tudo para construir um relacionamento com os alvos antes de tentar comprometer suas contas. ®
.
