SAWT BEIRUT INTERNATIONAL

| 1 December 2021, Wednesday |

L’Iran accusé d’avoir piraté des informations d’identification sur Google et Instagram

Des chercheurs américains en cybersécurité ont diagnostiqué de récentes attaques de piratage par extorsion par des Iraniens en volant les informations d’identification des comptes en langue persane sur Google et Instagram, en utilisant une faille dans les mécanismes de contrôle à distance des fichiers Microsoft MSHTML.

Security Affairs a cité des détails sur ce que les analystes de SafeBreach Laboratories ont réussi à surveiller le piratage iranien pour la première fois à la mi-septembre 2021, pour découvrir que des vols de données de victimes ont été effectués en utilisant ce que l’on appelle le suivi de l’ombre shadowChasing.

Le rapport montre comment les chercheurs de laboratoire ont utilisé des techniques similaires à celles utilisées par les pirates pour voler des données d’Instagram et de Google, connues sous le nom de voleur PowerShell, mais en laboratoire, ils les ont traquées avec un nouveau contre-programme qu’ils ont appelé PowerShortShell.

Dans ce programme, ils ont suivi les pages Instagram piratées et collecté des informations du système de piratage iranien en comparant les comptes sur lesquels les informations d’identification ont été volées.

La récente campagne de piratage de l’Iran ciblait les utilisateurs de Windows.

La série de messages de phishing a commencé avec des pièces jointes Winward malveillantes qui exploitent les erreurs d’exécution de code à distance Microsoft MSHTML (RCE), en les suivant comme CVE-2021-40444.

La déclaration du cyber lab indique que les pirates ont utilisé un court script PowerShell, avec de puissantes capacités d’assemblage en seulement 150 lignes, et ont fourni de nombreuses informations importantes, notamment des captures d’écran, des fichiers Telegram et la collecte de documents, ainsi que des données complètes sur l’environnement de la victime.

Après avoir suivi l’ensemble des attaques, les techniciens du laboratoire SafeBreach ont constaté qu’elles avaient commencé en juillet de cette année, en se concentrant sur les locuteurs du persan, et que la plupart des victimes se trouvaient aux États-Unis.

Les assaillants ont utilisé l’attrait du « massacre de Corona », un piège pour les arrivées aux États-Unis, y compris d’origine iranienne, et que lorsque le document a été ouvert, des codes DLL ont été plantés puis déplacés au stade de la demande de rançon.

L’Iran et la Corée du Nord sont maintenant « deuxièmes après la Russie et la Chine » en termes de capacités de cyberguerre détenues par des adversaires occidentaux.

Le 11 novembre 2021, un jury fédéral américain a inculpé deux pirates informatiques iraniens pour ingérence dans les élections américaines, notamment pour avoir obtenu des informations classifiées sur les électeurs d’au moins un site électoral d’Un État pour une campagne de désinformation électronique ciblant 100 000 Américains.

Plus tôt ce mois-ci, le gouvernement américain a averti que les pirates iraniens avaient également lancé une attaque de ransomware, un type d’attaque qui détrait des informations ou des comptes en échange d’argent.