L’Office fédéral allemand pour la protection de la Constitution (BfV) a mis en garde contre les cyberattaques ciblant des personnes et des organisations iraniennes dans le pays depuis la fin de 2022.
« Les cyberattaques étaient principalement dirigées contre des organisations et des individus dissidents – tels que des avocats, des journalistes ou des militants des droits de l’homme – à l’intérieur et à l’extérieur de l’Iran », a déclaré l’agence dans un avis.
Les intrusions ont été attribuées à un acteur menaçant appelé Charming Kitten, qui est également suivi sous les noms APT35, Mint Sandstorm, TA453 et Yellow Garuda.
Alors que les acteurs des États-nations iraniens sont à la traîne de leurs homologues russes et chinois en termes de sophistication, ils ont fait preuve d’une amélioration continue des outils et des techniques, ajoutant un arsenal de logiciels malveillants personnalisés pour faciliter la collecte d’informations et exploitant rapidement les failles de sécurité n-day pour obtenir un accès initial.
Charming Kitten, en particulier, a une longue et riche histoire d’exploitation d’une ingénierie sociale élaborée et d’identités en ligne fictives conçues sur mesure pour cibler les victimes. Il se fait également passer pour de vrais journalistes et employés d’ONG dans le but d’établir des relations et d’augmenter les chances de succès des attaques.
Une fois qu’un contact réussi est établi, l’équipe de piratage a été observée en train d’envoyer des liens vers un chat vidéo en ligne qui, lorsqu’ils sont cliqués, incitent les victimes à saisir leurs informations de connexion sur une page de phishing, entraînant ainsi un vol d’informations d’identification. Le site de phishing se fait passer pour un fournisseur de services en ligne légitime tel que Google ou Microsoft.
« Si un chat vidéo en ligne se produit, il sert à dissimuler l’attaque », a déclaré BfV. « Après s’être connecté au compte utilisateur de la victime à partir d’un serveur C26, l’attaquant peut télécharger l’intégralité des données utilisateur, par exemple au moyen de Google Takeout. »
Il convient de noter qu’en août 2022, le Google Threat Analysis Group (TAG) a détaillé un logiciel malveillant appelé HYPERSCRAPE utilisé par l’auteur de la menace pour récupérer les données des utilisateurs des comptes Gmail, Yahoo! et Microsoft Outlook.
Les attaques reflètent également les conclusions antérieures de Certfa Lab et de Human Rights Watch (HRW), qui ont révélé une campagne de phishing d’identification visant des militants des droits de l’homme, des journalistes, des chercheurs, des universitaires, des diplomates et des politiciens travaillant au Moyen-Orient à la même époque.
Le développement intervient alors que Sophos a révélé une campagne de logiciels malveillants mobiles ciblant les clients de quatre banques iraniennes, Bank Mellat, Bank Saderat, Resalat Bank et Central Bank of Iran, avec pas moins de 40 fausses applications Android conçues pour voler des informations sensibles.
« Toutes les applications, qui étaient disponibles au téléchargement entre décembre 2022 et mai 2023, collectent les identifiants de connexion aux services bancaires en ligne et les détails de la carte de crédit, et ont plusieurs autres fonctionnalités », a déclaré le chercheur en sécurité Pankaj Kohli dans un rapport publié à la fin du mois dernier.
Cela inclut « le masquage de leurs icônes pour maintenir la furtivité et l’interception des messages SMS entrants que certaines banques utilisent dans le cadre de schémas d’authentification multifacteur ». Une fonctionnalité est également présente pour rechercher sur l’appareil infecté plusieurs autres applications liées à la banque, au paiement ou à la crypto-monnaie.
