S Íránem spojená skupina APT známá jako Charming Kitten je zpět s novým přístupem, kdy se vydává za persky mluvící novináře prostřednictvím WhatsApp a LinkedIn, aby přiměl oběti k otevření škodlivých odkazů. Cílem jsou izraelští vědci z univerzit v Haifě a Tel Avivu a zaměstnanci americké vlády.

Podle analýzy Clearsky byl nejnovější útok poprvé spatřen v červenci. Útočníci předstírali, že jsou známými autory Deutsche Welle nebo Jewish Journal, a k cílům přistupovali prostřednictvím e-mailu a zpráv a hovorů WhatsApp. Kyberzločinci také vytvořili falešné profily LinkedIn, které odpovídají jménům novinářů, aby si tak zajistili věrohodnost. Naposílali také obětem zprávy LinkedIn. Koncem hry je přesvědčit cíl, aby klikl na škodlivý odkaz, který uživatele přesměruje na phishingovou stránku, aby ukradl pověření.

„Škodlivý odkaz je zabudován do legitimní, metodou waterhole kompromitované domény Deutsche Welle,“ uvádí se ve zprávě Clearsky. „Každá oběť obdrží osobní odkaz přizpůsobený jejímu konkrétnímu e-mailovému účtu. Zjistili jsme také pokus o zaslání škodlivého souboru ZIP ke zprávě zaslané oběti prostřednictvím falešného profilu LinkedIn.“

Tento přístup je výrazným odklonem od obvyklého M.O., který se obvykle spoléhá na e-maily a SMS.

„Tyto dvě platformy umožňují útočníkovi snadno se dostat k oběti a strávit minimum času vytvářením fiktivního profilu sociálních médií,“ uvedl Clearsky. „V této kampani však Charming Kitten použilo spolehlivý a dobře vyvinutý účet LinkedIn k podpoře svých e-mailových phishingových útoků … [také jsme] zaznamenali ochotu útočníků hovořit po telefonu přímo s obětí pomocí volání WhatsApp a legitimní německé telefonní číslo. Tato [taktika, technika a postup] (TTP) je neobvyklá a ohrožuje falešnou identitu útočníků. “

Zdroj: threatpost.com