Друг прислал странную ссылку в Telegram? Увы, это больше не ваш друг
NewsMakerИранские спецслужбы научились тайно читать чужие переписки и слушать звонки.
Федеральное бюро расследований США раскрыло подробности киберкампании, за которой стоят структуры иранского Министерства разведки и безопасности (MOIS). Атаки ведутся не напрямую, а через привычные инструменты — злоумышленники превратили Telegram в канал управления вредоносным ПО и используют его для слежки и кражи данных у выбранных целей по всему миру.
По данным ФБР, операции начались как минимум осенью 2023 года и в первую очередь затронули иранских диссидентов, журналистов и участников организаций, чьи взгляды расходятся с позицией властей Ирана. При этом инструменты позволяют атаковать практически любого человека, попавшего в поле зрения спецслужб. Основой кампании стал многоступенчатый вредоносный код для Windows, который после заражения даёт удалённый доступ к устройству.
Злоумышленники действуют через социальную инженерию . Они выходят на контакт в мессенджерах, выдают себя за знакомых или сотрудников техподдержки и убеждают скачать и запустить файл. Вредоносные программы маскируются под популярные сервисы вроде KeePass, WhatsApp или Telegram. После запуска система незаметно подключается к управляющему боту в Telegram, через который идёт дальнейшее управление и сбор информации.
Вторая стадия закрепляется в системе и обеспечивает постоянный доступ. С её помощью операторы могут записывать экран и звук, копировать файлы, архивировать данные с паролем и передавать их операторам через Telegram . В отдельных случаях вредоносные модули активировались во время звонков в Zoom, фиксируя разговоры и происходящее на экране.
Федеральное бюро расследований США раскрыло подробности киберкампании, за которой стоят структуры иранского Министерства разведки и безопасности (MOIS). Атаки ведутся не напрямую, а через привычные инструменты — злоумышленники превратили Telegram в канал управления вредоносным ПО и используют его для слежки и кражи данных у выбранных целей по всему миру.
По данным ФБР, операции начались как минимум осенью 2023 года и в первую очередь затронули иранских диссидентов, журналистов и участников организаций, чьи взгляды расходятся с позицией властей Ирана. При этом инструменты позволяют атаковать практически любого человека, попавшего в поле зрения спецслужб. Основой кампании стал многоступенчатый вредоносный код для Windows, который после заражения даёт удалённый доступ к устройству.
Злоумышленники действуют через социальную инженерию . Они выходят на контакт в мессенджерах, выдают себя за знакомых или сотрудников техподдержки и убеждают скачать и запустить файл. Вредоносные программы маскируются под популярные сервисы вроде KeePass, WhatsApp или Telegram. После запуска система незаметно подключается к управляющему боту в Telegram, через который идёт дальнейшее управление и сбор информации.
Вторая стадия закрепляется в системе и обеспечивает постоянный доступ. С её помощью операторы могут записывать экран и звук, копировать файлы, архивировать данные с паролем и передавать их операторам через Telegram . В отдельных случаях вредоносные модули активировались во время звонков в Zoom, фиксируя разговоры и происходящее на экране.