イギリス在住のイラン人活動家、ナリマン・ガリブ氏は、WhatsAppメッセージで送られたフィッシングリンクのスクリーンショットを公開し、「怪しいリンクをクリックしないように」と警告したと発表しました。ガリブ氏によると、このハッキングキャンペーンはイラン関連の活動に関与する人々を標的にしているということです。
このキャンペーンは、イランが史上最長の全国的なインターネット遮断に直面している中で発生しました。反政府デモとそれに対する暴力的な弾圧が続く中、イランとその敵対国は攻撃的なサイバー空間で活発に活動しているとされています。
ガリブ氏は、フィッシングリンクの完全なURLをTechCrunchに共有し、攻撃に使用されたフィッシングウェブページのソースコードを分析することができたとしています。TechCrunchは、セキュリティ研究者の協力を得て、このキャンペーンがGmailや他のオンライン資格情報を盗むことを目的としていると結論付けました。
攻撃者が政府関連のエージェント、スパイ、またはサイバー犯罪者であるかは不明ですが、攻撃者のサーバーに保存された被害者のデータが露出していたことが確認されました。このデータには、資格情報をフィッシングサイトに入力した多数の被害者が含まれていました。
被害者には、中東の国家安全保障研究を行う学者、イスラエルのドローンメーカーの上司、レバノンの閣僚、少なくとも1人のジャーナリスト、アメリカに住む人々が含まれているということです。
フィッシングサイトは現在閉鎖されており、攻撃者が自発的にサイトを閉鎖したのか、DuckDNSによって遮断されたのかは不明です。攻撃者は、DuckDNSを利用してフィッシングページの実際の位置を隠し、WhatsAppのリンクに見せかけたとされています。
このフィッシングキャンペーンは、被害者の位置情報、写真、音声データを盗むことを目的としていたとされています。特に、WhatsAppのデバイスリンク機能を悪用して、被害者のデータにアクセスする手法が用いられました。
このキャンペーンの背後にいる者が誰であるかは不明ですが、イランのイスラム革命防衛隊(IRGC)関連のフィッシングキャンペーンの可能性があるとセキュリティ専門家は指摘しています。
この報告は、イランの国内外の状況を考慮すると、情報収集を目的としたスパイ活動の一環である可能性があるとされています。ガリブ氏の報告を検証した結果、TechCrunchはこの情報を公開しました。