...
Hacki życiowe, przydatne wskazówki, zalecenia. Artykuły dla mężczyzn i kobiet. Piszemy o technologii i o wszystkim, co ciekawe.

Hakerzy stworzyli oprogramowanie do kradzieży kodów SMS do uwierzytelniania dwuskładnikowego

1

Złośliwe oprogramowanie było w stanie wykraść kody SMS do kont 2FA Google. Telegram i inne sieci społecznościowe są również zagrożone.

Eksperci ds. bezpieczeństwa w Check Point powiedzieli, że irańska grupa hakerska opracowała złośliwe oprogramowanie dla Androida, które może przechwytywać kody uwierzytelniania dwuskładnikowego (2FA) wysyłane za pośrednictwem wiadomości SMS.

Złośliwe oprogramowanie było częścią arsenału narzędzi hakerskich opracowanych przez grupę hakerów o nazwie Rampant Kitten.

Check Point twierdzi, że grupa działa od co najmniej sześciu lat i jest zaangażowana w trwającą operację inwigilacji mniejszości irańskich, organizacji antyrządowych i ruchów oporu, takich jak:

  • Stowarzyszenie Rodzin i Mieszkańców Obozu Ashraf (AFALR)
  • Narodowa Organizacja Ruchu Oporu Azerbejdżanu
  • mieszkańcy Beludżystanu

Hakerzy wykorzystują szeroką gamę złośliwego oprogramowania, w tym cztery warianty narzędzi do kradzieży informacji dla systemu Windows oraz backdoora dla systemu Android ukrytego w złośliwych aplikacjach.

Szkodliwe oprogramowanie dla systemu Windows było wykorzystywane głównie do kradzieży dokumentów osobistych, a także plików z klienta stacjonarnego Telegram dla systemu Windows, co umożliwiało hakerom dostęp do konta Telegram ofiary.

Ponadto złośliwe oprogramowanie Windows kradło również pliki z menedżera haseł KeePass. Jest to zgodne z opisem funkcjonalności we wspólnym ostrzeżeniu CISA-FBI dotyczącym irańskich hakerów i ich złośliwego oprogramowania, opublikowanym na początku tego tygodnia.

Aplikacja do ominięcia 2FA

Hakerzy z Rampant Kitten faworyzowali trojany dla systemu Windows, ale opracowali również podobne narzędzia dla systemu Android.

W opublikowanym wczoraj raporcie badacze z Check Point stwierdzili, że odkryli również potężnego backdoora dla Androida opracowanego przez grupę. Backdoor może ukraść listę kontaktów i wiadomości SMS ofiary, po cichu aktywować mikrofon i przejść do stron phishingowych.

Backdoor zawierał również skrypty zaprojektowane specjalnie do kradzieży kodów 2FA.

Check Point powiedział, że złośliwe oprogramowanie przechwyci i przekaże atakującym wszelkie SMS-y zawierające ciąg „G-", powszechnie używany do prefiksu kodów 2FA dla kont Google wysyłanych do użytkowników za pośrednictwem wiadomości SMS.

Operatorzy Rampant Kitten mają wykorzystywać trojany dla Androida, aby zmusić urządzenie do otwarcia strony phishingowej Google, przechwycenia danych uwierzytelniających użytkownika, a następnie uzyskania dostępu do konta.

Jeśli ofiara miała włączone uwierzytelnianie dwuskładnikowe, funkcja wąchania kodu mogłaby po cichu wysłać kopie kodu uwierzytelniania dwuskładnikowego do atakujących, umożliwiając ominięcie ochrony.

Check Point znalazł również dowody na to, że złośliwe oprogramowanie automatycznie przekazuje wszystkie przychodzące wiadomości SMS z Telegramu i innych sieci społecznościowych. Te typy wiadomości zawierają również kody 2FA i jest wysoce prawdopodobne, że grupa wykorzystała tę funkcję do ominięcia 2FA na więcej niż tylko kontach Google.

W tej chwili złośliwe oprogramowanie podszywa się pod aplikację, która pomaga użytkownikom języka perskiego w Szwecji uzyskać prawo jazdy. Jednak może również ukrywać się w innych aplikacjach, których celem są Irańczycy sprzeciwiający się reżimowi w Teheranie mieszkający w Iranie i poza nim.

Chociaż ogólnie przyjmuje się, że sponsorowane przez rząd grupy hakerów i tak zazwyczaj mogą ominąć uwierzytelnianie dwuskładnikowe, bardzo rzadko mamy pojęcie o ich narzędziach i sposobie, w jaki to robią.

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów