- 23,635
- 46
- 8 Ноя 2022
Хакеры использовали уязвимость в функции связывания устройств WhatsApp для захвата аккаунтов.
Все началось с одного сообщения в WhatsApp. Иранский активист Нариман Гариб, живущий в Великобритании, получил ссылку якобы на встречу и решил предупредить других. Публикация с замазанными скриншотами быстро привлекла внимание, потому что за такой приманкой обычно стоит не спам, а целевая охота на конкретных людей.
По данным TechCrunch, за ссылкой скрывалась фишинговая цепочка , рассчитанная на пользователей, так или иначе связанных с Ираном и темой протестов. Кампания развернулась на фоне ограничений связи в стране и обострения противостояния в киберпространстве, где иранские и проиранские группы давно считаются очень активными.
Анализ исходной ссылки помог получить исходный код поддельной страницы. Злоумышленники пытались не только выманить логины и пароли от Gmail и других сервисов, но и перехватить аккаунты WhatsApp. Дополнительно код намекал на попытку слежки через доступ к геолокации, камере и микрофону.
Ключевой трюк начинался с домена на DuckDNS. Это сервис динамического DNS, который позволяет привязать запоминающийся адрес к серверу, чей IP может часто меняться. Проще говоря, ссылка выглядела более правдоподобно и хуже отслеживалась, чем прямой адрес. При этом сама фишинговая инфраструктура, судя по данным исследователей, была связана с доменом alex-fabow.online, зарегистрированным в начале ноября 2025 года. Рядом всплывали похожие домены, которые маскировались под сервисы виртуальных встреч, например meet-safe.online и whats-login.online.
Фишинговая ссылка (@NarimanGharib)
Сам сценарий подстраивался под жертву. Кому-то открывали фальшивую страницу входа в Gmail, кому-то предлагали ввести номер телефона, а затем по шагам вытягивали пароль и код двухфакторной аутентификации . Внутри все было устроено так, будто сайт записывает каждое действие пользователя, включая ошибки при вводе, что сильно повышает шанс дождаться правильной комбинации.
Самое неприятное, что сервер злоумышленников оказался настроен с грубой ошибкой. TechCrunch обнаружил, что на нем можно было просмотреть файл с логами ответов жертв, и доступ к нему не был защищен паролем. В этом массиве было более 850 записей, включая введенные логины, пароли и коды 2FA. По данным из user agent видно, что атаку делали сразу под Windows, macOS, iPhone и Android.
Среди пострадавших оказались люди, которых сложно назвать случайными целями. В логах фигурировали академик, занимающийся исследованиями в области нацбезопасности, руководитель израильского производителя дронов, высокопоставленный ливанский министр, как минимум один журналист, а также пользователи в США или с американскими номерами. При этом подтвержденных случаев успешного взлома, которые удалось связать с логами, было относительно немного, речь шла о десятках и, вероятно, менее чем о 50 людях. Это не исключает, что реальных жертв было больше, просто не все попадали в обнаруженный набор данных.
Отдельная ветка атаки была заточена под захват WhatsApp. В варианте, который увидел Гариб, открывалась страница в стиле WhatsApp с QR-кодом . Приманка выглядела как приглашение в виртуальную комнату, а на деле должна была заставить человека привязать свой аккаунт к устройству атакующего через функцию связывания устройств. Это известная техника, которую раньше применяли и против пользователей других мессенджеров.
Скрипты могли запрашивать у браузера разрешение на отслеживание геолокации, а также доступ к фото и аудио. Если жертва соглашалась, координаты отправлялись атакующим и обновлялись каждые несколько секунд, пока вкладка оставалась открытой. Камера и микрофон тоже могли срабатывать сериями, делая снимки и короткие записи. В опубликованных данных TechCrunch не увидел уже собранных фото, аудио или координат, но сама возможность в коде присутствовала.
Кто стоял за кампанией, до конца не ясно. Специалисты отметили, что атака похожа на целевой spear phishing , который ассоциируют с иранскими структурами , и перечислил признаки вроде международного охвата, кражи учетных данных и активного использования WhatsApp. С другой стороны, исследователь DomainTools, анализировавший домены, счел инфраструктуру скорее похожей на киберпреступную операцию с финансовой мотивацией. Есть и третья версия, что государственные игроки могли использовать преступные группы как подрядчиков, чтобы сложнее было напрямую связать атаку с заказчиком.
Сам фишинговый сайт на момент публикации расследования уже перестал открываться. Но история снова напоминает простую вещь, которая особенно плохо работает в мессенджерах, где мы привыкли доверять переписке. Ссылки на встречи, входы и подтверждения, пришедшие внезапно, безопаснее считать подозрительными, даже если они выглядят убедительно.
Все началось с одного сообщения в WhatsApp. Иранский активист Нариман Гариб, живущий в Великобритании, получил ссылку якобы на встречу и решил предупредить других. Публикация с замазанными скриншотами быстро привлекла внимание, потому что за такой приманкой обычно стоит не спам, а целевая охота на конкретных людей.
По данным TechCrunch, за ссылкой скрывалась фишинговая цепочка , рассчитанная на пользователей, так или иначе связанных с Ираном и темой протестов. Кампания развернулась на фоне ограничений связи в стране и обострения противостояния в киберпространстве, где иранские и проиранские группы давно считаются очень активными.
Анализ исходной ссылки помог получить исходный код поддельной страницы. Злоумышленники пытались не только выманить логины и пароли от Gmail и других сервисов, но и перехватить аккаунты WhatsApp. Дополнительно код намекал на попытку слежки через доступ к геолокации, камере и микрофону.
Ключевой трюк начинался с домена на DuckDNS. Это сервис динамического DNS, который позволяет привязать запоминающийся адрес к серверу, чей IP может часто меняться. Проще говоря, ссылка выглядела более правдоподобно и хуже отслеживалась, чем прямой адрес. При этом сама фишинговая инфраструктура, судя по данным исследователей, была связана с доменом alex-fabow.online, зарегистрированным в начале ноября 2025 года. Рядом всплывали похожие домены, которые маскировались под сервисы виртуальных встреч, например meet-safe.online и whats-login.online.
Фишинговая ссылка (@NarimanGharib)
Сам сценарий подстраивался под жертву. Кому-то открывали фальшивую страницу входа в Gmail, кому-то предлагали ввести номер телефона, а затем по шагам вытягивали пароль и код двухфакторной аутентификации . Внутри все было устроено так, будто сайт записывает каждое действие пользователя, включая ошибки при вводе, что сильно повышает шанс дождаться правильной комбинации.
Самое неприятное, что сервер злоумышленников оказался настроен с грубой ошибкой. TechCrunch обнаружил, что на нем можно было просмотреть файл с логами ответов жертв, и доступ к нему не был защищен паролем. В этом массиве было более 850 записей, включая введенные логины, пароли и коды 2FA. По данным из user agent видно, что атаку делали сразу под Windows, macOS, iPhone и Android.
Среди пострадавших оказались люди, которых сложно назвать случайными целями. В логах фигурировали академик, занимающийся исследованиями в области нацбезопасности, руководитель израильского производителя дронов, высокопоставленный ливанский министр, как минимум один журналист, а также пользователи в США или с американскими номерами. При этом подтвержденных случаев успешного взлома, которые удалось связать с логами, было относительно немного, речь шла о десятках и, вероятно, менее чем о 50 людях. Это не исключает, что реальных жертв было больше, просто не все попадали в обнаруженный набор данных.
Отдельная ветка атаки была заточена под захват WhatsApp. В варианте, который увидел Гариб, открывалась страница в стиле WhatsApp с QR-кодом . Приманка выглядела как приглашение в виртуальную комнату, а на деле должна была заставить человека привязать свой аккаунт к устройству атакующего через функцию связывания устройств. Это известная техника, которую раньше применяли и против пользователей других мессенджеров.
Скрипты могли запрашивать у браузера разрешение на отслеживание геолокации, а также доступ к фото и аудио. Если жертва соглашалась, координаты отправлялись атакующим и обновлялись каждые несколько секунд, пока вкладка оставалась открытой. Камера и микрофон тоже могли срабатывать сериями, делая снимки и короткие записи. В опубликованных данных TechCrunch не увидел уже собранных фото, аудио или координат, но сама возможность в коде присутствовала.
Кто стоял за кампанией, до конца не ясно. Специалисты отметили, что атака похожа на целевой spear phishing , который ассоциируют с иранскими структурами , и перечислил признаки вроде международного охвата, кражи учетных данных и активного использования WhatsApp. С другой стороны, исследователь DomainTools, анализировавший домены, счел инфраструктуру скорее похожей на киберпреступную операцию с финансовой мотивацией. Есть и третья версия, что государственные игроки могли использовать преступные группы как подрядчиков, чтобы сложнее было напрямую связать атаку с заказчиком.
Сам фишинговый сайт на момент публикации расследования уже перестал открываться. Но история снова напоминает простую вещь, которая особенно плохо работает в мессенджерах, где мы привыкли доверять переписке. Ссылки на встречи, входы и подтверждения, пришедшие внезапно, безопаснее считать подозрительными, даже если они выглядят убедительно.
- Источник новости
- www.securitylab.ru
