گزارش شرکت چک‌پوینت درباره

حملات جدید هکرهای گروه Rampant Kitten برای سرقت اطلاعات حساب‌ها

محققان شرکت چک‌پوینت به‌تازگی یک کمپین بدافزاری وابسته به هکرهای ایرانی را شناسایی کرده‌اند که اطلاعات شخصی دستگاه‌، داده‌های موجود در مرورگر و فایل‌های پیام‌رسان تلگرام قربانیان را مورد هدف قرار می‌دهد. به گفته چک‌پوینت، این حملات کدهای احراز هویت ورود دو مرحله‌ای و گذرواژه‌های حساب‌های مختلف را نیز مورد هدف خود قرار داده است.

حملات جدید هکرهای گروه Rampant Kitten برای سرقت اطلاعات حساب‌ها

یافته‌های جدید محققان امنیتی شرکت چک‌پوینت نشان می‌دهد که یک کمپین بدافزاری مرتبط با گروهی از هکرهای ایرانی، موسوم به Rampant Kitten، حداقل به مدت ۶ سال، نهادها و مجموعه‌های سیاسی مخالف حکومت ایران را در کشورهای مختلف مورد هدف خود قرار داده است. 

محققان اولین‌بار این گروه را از طریق یک فایل منتشر شده با نام «The Regime Fears the Spread of the Revolutionary Cannons.docx.» که اشاره به کشمکش‌های بین جمهوری اسلامی و سازمان مجاهدین خلق دارد، شناسایی کرده‌اند.

این فایل پس از اجرا شدن، شروع به برقرار ارتباط با سرورهای کنترل و فرمان مهاجمان می‌کند که برای این مورد، از نام یک وب‌سایت جعلی غیرانتفاعی برای کمک به مخالفان ایرانی استفاده شده است. همچنین در ادامه یک کد ماکرو مخرب دانلود می‌شود که اسکریپتی را برای دانلود و اجرای پی‌لودهای مرحله بعد، اجرا می‌کند. این پی‌لود بررسی می‌کند که آیا پیام‌رسان تلگرام در دستگاه قربانی نصب شده است یا خیر و در صورت وجود این برنامه در دستگاه قربانی، اقدام به سرقت فایل‌های تلگرام می‌کند.

علاوه براین، محققان طی تحقیقات خود یک برنامه مخرب اندروید مرتبط با این گروه را شناسایی کردند که این برنامه در ابتدا به نظر می‌رسد که سرویسی برای کمک به فارسی‌زبانانی است که قصد گرفتن گواهینامه رانندگی در سوئد را دارند.

اما در واقعیت، هنگامی که قربانیان این برنامه را دانلود می‌کنند، بدافزار به کار رفته در آن، به پیام‌های کوتاه دسترسی پیدا کرده و با ارسال همه پیام‌های حاوی کد احراز هویت دو مرحله‌ای به یک شماره تحت کنترل مهاجم، امکان دورزدن احراز هویت چند عاملی را برای هکرها فراهم می‌سازد.

این برنامه همچنین یک حمله فیشینگ با هدف‌ سرقت اطلاعات ورود به حساب گوگل قربانیان ار نیز اجرا می‌کند. برای این کار، مهاجمان، قربانی خود را به یک صفحه تقلبی ورود به حساب گوگل هدایت کرده و اطلاعات ورود تایپ شده توسط قربانی را به سرقت می‌برند.

 

 

توضیحات بیشتر:

Rampant Kitten – An Iranian Espionage Campaign

گروه خبر سرتفا
گروه خبر سرتفا

یکی از اهداف سرتفا، انتشار سریع اخبار مربوط به رویدادها و رخدادهای حوزه امنیت سایبری است. بر همین اساس، گروه خبر سرتفا پس انتخاب اخبار از منابع رسمی و معتبر بین‌المللی، اقدام به ترجمه، ویرایش و ساده‌سازی خبر برای مخاطبان این حوزه می‌کند.

آیا با قوانین شرایط استفاده از کلیه خدمات وب‌سایت سرتفا موافق هستید؟ بله ✔ خیر ✘ مطالعه !