Hackers tentam se passar pelo jornalista Farnaz Fassihi, que foi repórter do Wall Street Journal e cobriu o Oriente Médio. Ele próprio recebeu um e-Mail da campanha
Hackers supostamente associados ao Irã tentaram roubar senhas e credenciais passando-se por um ex-repórter do Wall Street Journal. Eles enviaram às vítimas documentos com as possíveis perguntas para entrevistas, de acordo com a empresa de segurança Certfa Lab, sediada em Londres.
A empresa descobriu a campanha de phishing em novembro de 2019 e tudo indica que ela está em andamento. A campanha foi criada para atingir figuras proeminentes de origem iraniana, incluindo o acadêmico Erfan Kasraie, alemão nascido no Irã. Os analistas da Certfa identificaram o grupo como sendo o Charming Kitten, que se acredita ter vínculos com o Irã.
O grupo, também conhecido como APT35, Phosphorous e Ajax Security Team, tem como alvo jornalistas, ativistas e outras vítimas em todo o Oriente Médio e além pelo menos desde 2013, diz um processo que a Microsoft abriu contra o grupo em 2019.
Nesta nova campanha, os hackers tentam se passar pelo jornalista iraniano-americano Farnaz Fassihi, que foi repórter do Wall Street Journal e cobriu o Oriente Médio. Agora ele trabalha no The New York Times. Os e-mails de phishing são projetados de modo que pareçam ter origem na conta pessoal do Gmail de Fassihi, assim atraindo as vítimas a responder, acrescentam os pesquisadores.
Uma das dicas de que esses e-mails eram iscas de phishing é que Fassihi se mudou recentemente para o New York Times e não estaria buscando entrevistas com assuntos do Journal, de acordo com o relatório. Kasraie foi também um dos destinatários dessas mensagens de phishing.
Os hackers incorporam links para sites legítimos usando um encurtador de URL. Mas se o destinatário do email clicar no link, os hackers começam a obter informações sobre o dispositivo da vítima, como endereço IP, o tipo de sistema operacional usado, além de detalhes do histórico do navegador, de acordo com o relatório da Certfa. Depois de estabelecerem um nível de confiança com as vítimas que usam esse email inicial, eles enviam uma segunda mensagem com um link para uma página hospedada na plataforma Google Sites baseada na nuvem, que contém as perguntas da entrevista e o logotipo do Journal.
Os pesquisadores dizem que essa tática é relativamente foi amplamente utilizada em ataques de phishing por hackers no ano passado, a fim de fazer com que os alvos confiem no domínio de destino: “Usando essa tática, o hacker pode evitar as detecções de spam”.
Se uma vítima clicar no link para as perguntas da entrevista, ela será redirecionada para outra página falsa, na qual serão solicitadas credenciais de login, incluindo sua senha e um código de autenticação de dois fatores que faz parte do kit de phishing enviado pelos atacantes, diz o relatório.