ادعای پژوهشگران امنیتی: یک جاسوسافزار خطرناک در کمین ایرانیها است
پژوهشگران امنیت سایبری از کارزار تازهای با نام CRESCENTHARVEST پرده برداشتهاند؛ عملیاتی که گفته میشود حامیان اعتراضات اخیر ایران را هدف گرفته و با هدف سرقت اطلاعات و جاسوسی بلندمدت طراحی شده است.
واحد تحقیقاتی شرکت آکرونیس اعلام کرد این حملات پس از ۹ ژانویه (۱۹ دی) شناسایی شدهاند و در آنها بدافزاری توزیع میشود که هم نقش تروجان دسترسی از راه دور (RAT) را دارد و هم ابزار سرقت اطلاعات است. هنوز مشخص نیست این حملات تا چه حد موفق بودهاند.
مهاجمان با سوءاستفاده از فضای سیاسی، فایلهایی را در قالب تصاویر و ویدیوهای مرتبط با اعتراضها منتشر میکنند تا قربانیان را به اجرای آنها ترغیب کنند.
فایلها ظاهراً حاوی محتوای رسانهای و گزارشهایی به زبان فارسی دربارهی «شهرهای معترض» هستند تا توجه کاربران فارسیزبان جلب شود. پس از اجرای فایل آلوده، بدافزار روی سیستم فعال میشود، اطلاعات مرورگر و حسابهای کاربری از جمله تلگرام را جمعآوری میکند و امکان اجرای فرمان از راه دور را در دسترس قرار میدهد.
اینکه چه نهاد یا گروهی پشت عملیات است، مشخص نیست؛ اما این دومین کارزار هدفمند پس از ناآرامیهای دیماه بهشمار میرود. ماه گذشته نیز شرکت فرانسوی HarfangLab از فعالیت گروهی با نام RedKitten خبر داده بود که فعالان حقوق بشر را هدف قرار داد.
به گفتهی آکرونیس، شیوههای بهکاررفته در این حمله چندان تازه نیست و بر فیشینگ هدفمند، مهندسی اجتماعی طولانیمدت و سوءاستفاده از فایلهای میانبر ویندوز تکیه دارد؛ الگویی که پیشتر از سوی گروههایی مانند Charming Kitten دیده شده بود.