به گزارش کارگروه بینالملل سایبربان؛ شرکت امنیت سایبری آمریکایی اسرائیلی سیف بریچ اخیراً طی گزارشی مدعی شد یک کمپین ایرانی را شناسایی کرده که از اوایل سال جاری با هدف جمعآوری اطلاعات کاربری جیمیل و اینستاگرام اهداف بسیاری را در کشورهای مختلف هدف حملات فیشینگ قرار داده که تقریباً نیمی از این اهداف نزدیک به 46% در آمریکا بوده است.
این شرکت مدعی است کمپین یادشده را ابتدا در ماه سپتامبر شناسایی کرده اما با بررسیهای بیشتر به این نتیجه رسیده که زمان برخی از حملات فیشینگ این کمپین به ماه ژوئیه نیز برمیگردد.
همچنین سیف بریچ مدعی است یک کد پاورشل (PowerShell) کشف کرده که محققان این شرکت آن را پاور شورت شل (PowerShortShell) مینامند، کدی که مهاجمان از آن برای سرقت طیفی از دادههای حیاتی از قربانیان مانند تصاویر و فایلهای تلگرام استفاده میکرده است.
کد مذکور معمولاً از طریق اسناد آفیس ارسالشده از طریق ایمیل اجرا میشده است. در یکی از این فایلهای وورد ارسالی از آسیبپذیری (CVE-2021-40444) برای حذف کد مخرب PowerShell استفاده شده که در مرحله بعدی دادهها را از رایانه آلودهشده جمعآوری میکند.
سیف بریچ مدعی شد تصویر ذیل نیز یک سایت فیشینگ است که قربانی را به URL کوتاه https://yun[.]ir/jcccj. هدایت میکند.
اطلاعات کاربری سرقت شده در فایل out.txt ذخیره میشد که البته برای مرور در دسترس است.
محققان این شرکت مدعی هستند سایتی با آدرس https://signin[.]dedyn[.]io/Social/Instagram/Account.
کشف کردهاند که برای سرقت اطلاعات کاربری حسابهای اینستاگرام بوده و اطلاعات مسروقه را در همان فایل out.txt مذکور ذخیره میکرده است.
سیف بریچ در انتها خاطرنشان کرد آمار دقیقی از قربانیان در دست ندارد اما توانسته یک نقشه حرارتی از قربانیان تهیه کند.
