ИТ сигурността Gmail и Telegram са компрометирани от хакери в услуга на иранския режим
Наблюдава се кампания за наблюдение, проведена от иранските служби срещу дисидентите на режима, която продължава шест години. От 2014 г. Rampant Kitten (хакерската група зад тази кампания) предприема атаки, за да шпионира техните жертви, включително отвличане на акаунти в Telegram, извличане на двуфакторни кодове за удостоверяване чрез текстови съобщения, телефонни записи, достъп до информация за акаунта в KeePass и разпространение на злонамерени фишинг страници с помощта на фалшиви акаунти за услуги на Telegram.
Те използваха злонамерени документи, за да атакуват жертвите си и да откраднат колкото се може повече информация, съхранявана на заразеното устройство. Документът, озаглавен „Режимът се страхува от разпространението на революционни оръдия.docx“, позволи на Rampant Kitten да извърши своите атаки. Веднъж отворен, файлът зареди шаблонния документ от отдалечен сървър (afalr-sharepoint [.] Com), който се представя за уебсайт на организация с нестопанска цел, която помага на иранските дисиденти. След това изтегли злонамерен макрокод, който изпълнява групов скрипт за изтегляне и изпълнение на полезен товар от следваща стъпка. След това този полезен товар проверява дали пощенската услуга на Telegram е инсталирана в системата на жертвите. Ако е така, той извлича три изпълними файла от своите ресурси. Тези изпълними файлове включват крадец на информация, който взема файлове от Telegram от компютъра на жертвата, краде информация от приложението за управление на пароли KeePass, изтегля всеки файл, който завършва с набор от предварително определени разширения, записва данни от клипборда и прави екранни снимки. Rampant Kitten също използва фишинг страници, за да се представя за Telegram.