کمپین‌های فیشینگ مرتبط با ایران که حساب‌های جیمیل و تلگرام را هدف قرار داده‌اند

در روزهای اخیر، کمپین‌های فیشینگ که به گروه‌های مرتبط با ایران نسبت داده می‌شوند، با هدف قرار دادن حساب‌های جیمیل و تلگرام، به روش‌های فریبنده متکی هستند. به عنوان مثال، برخی از کاربران ایمیل‌هایی با پیوست‌های PDF جعلی دریافت کرده‌اند. اگرچه در نگاه اول این فایل‌ها معتبر به نظر می‌رسند، اما حاوی لینک‌ها یا آیکون‌هایی—مانند آیکون گوگل درایو—هستند که کاربران را به سایتی جعلی هدایت می‌کنند. در آنجا، از کاربران خواسته می‌شود اطلاعات ورود به جیمیل خود را وارد کنند. این کمپین احتمالاً توسط هکر هایی که به جمهوری اسلامی وابسته‌اند، ترتیب داده شده و با هدف به خطر انداختن حساب‌ها و سرقت اطلاعات صورت گرفته است.

به موازات این حملات، کاربران تلگرام، به ویژه فعالان حقوق بشر و روزنامه‌نگاران، نیز هدف قرار گرفته‌اند. گزارشی از یک کمپین فیشینگ دیگر با استفاده از دامنه جدید و مشکوک (hxxps://spam-telegram[.]org) منتشر شده است. در این موارد، قربانیان پیام‌ها یا اعلان‌هایی که به نظر رسمی می‌آیند، دریافت می‌کنند و به ورود از طریق لینک هدایت می‌شوند. هدف این است که اطلاعات ورود به حساب تلگرام آنها به سرقت برود و دسترسی به ارتباطات خصوصی آنها فراهم شود.

 این تلاش‌ها نشان‌دهنده یک استراتژی هماهنگ از سوی گروه‌های وابسته به ایران برای به خطر انداختن حساب‌های افرادی است که ممکن است اطلاعات حساسی داشته باشند یا درباره مسائل حقوق بشر ارتباط برقرار کنند.

IoCs:

hjrd49gj40s32ttu597f9q7udoi49dh29ahqifaaws8u22q[.]site

drives[.]googles[.]com-id-sddsdssd[.]fu58di30d8u8u2t976kg90i4fuj48duy7398wa73ahfd398a3suhyu456eh2q[.]site

hjrd49gj4dh54sj28917eryfg8ajudoi49dh29ahqifaaws8u22q[.]site

drives[.]googles[.]com[.]hjrd49gj4dh54sj28917eryfg8ajudoi49dh29ahqifaaws8u22q[.]site

accent-going-session[.]bond

cheking-panel[.]site

cheking-panel-step[.]site

human-queer-write[.]cyou

forward-goal-inner[.]digital

join-room-host[.]site

join-room-check[.]site