Empresas de TI e de comunicação israelenses foram alvo de ataques coordenados de hackers iranianos, segundo relatório da ClearSky Cyber Security. As ações de hacking ocorreram em duas ondas, nos meses de maio e julho de 2021.
O grupo de hackers iranianos chamado Siamesekitten (“gatinho siamês”) falsificava a identidade de empresas israelenses e de seu pessoal de RH (incluindo criação de perfis falsos no LinkedIn) para atingir as vítimas com falsas ofertas de emprego. As ações mal intencionadas começavam com a identificação de vítimas potenciais, que eram então atraídas por ofertas de emprego em empresas bem conhecidas, como a ChipPc e a Software AG.
Os hackers se passavam por funcionários do departamento de recursos humanos das empresas falsificadas e direcionavam as vítimas para um site de phishing, que continha arquivos maliciosos. Esses arquivos de isca assumiam a forma de uma planilha Excel embutida em macro que detalhava as supostas ofertas de trabalho e um arquivo executável portátil (PE), que também trazia um “catálogo” de produtos usados pela organização personificada.
Ao acessarem esses sites, as pessoas tinham suas máquinas invadidas por um malware de backdoor em versões chamadas Milan (em maio), baseada em C++, e Shark (em julho), baseada em .NET. O invasor estabelecia conexões com um servidor remoto e baixava um trojan de acesso de segundo estágio chamado DanBot.
O que os hackers iranianos queriam com os israelenses?
Ao que tudo indica, por terem como foco empresas de TI e de comunicação, o objetivo dos hackers iranianos era facilitar os ataques às cadeias de clientes das entidades israelenses. Como ocorre com outros grupos, é possível que a espionagem e a coleta de informações sejam os primeiros passos para a execução de ataques de falsificação de identidade direcionados a ransomware ou malware wiper.
De acordo com a Clear Sky, o Siamesekitten (também denominado Lyceum/Hexane) atua pelo menos há três anos. No passado, o grupo visava principalmente empresas de petróleo, gás e telecomunicações. Em 2018, o grupo atacou vários países africanos e, em 2019, eles começaram a atacar países do Oriente Médio também.
No primeiro trimestre de 2021, o grupo se concentrou em ataques na Tunísia. A empresa israelense de segurança cibernética diz que esta campanha é “semelhante à campanha norte-coreana de candidatos a emprego, empregando o que se tornou um vetor de ataque amplamente usado nos últimos anos: a falsificação de identidade”.
Leia mais:
- Hacker diz que roubou dados de 700 milhões “por diversão”
- Hacker que roubou US$600 mi em criptomoedas diz motivo do desvio
- JBS pagou R$ 55 milhões para solucionar ataque hacker
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: