Recientemente, un activista iraní con sede en el Reino Unido, Nariman Gharib, compartió en Twitter capturas de pantalla de un enlace de phishing que recibió a través de WhatsApp. Su advertencia fue clara: No hagas clic en enlaces sospechosos. Este ataque cibernético se ha dirigido a aquellos involucrados en actividades relacionadas con Irán, coincidiendo con un momento de gran agitación social en el país.
Irán enfrenta el apagón de internet más prolongado en su historia, en medio de protestas contra el gobierno y violentas represiones.
En este contexto, la actividad cibernética se ha intensificado, y se ha hecho evidente que los adversarios de Irán están utilizando tácticas de hacking para obtener información de individuos clave.
Detalles del ataque cibernético
Gharib compartió detalles del enlace de phishing con TechCrunch, lo que permitió a los investigadores analizar el código fuente de la página web utilizada en el ataque. Este análisis reveló que el objetivo principal de la campaña era robar credenciales de Gmail y otros servicios, así como comprometer cuentas de WhatsApp y realizar vigilancia al extraer datos de ubicación, fotos y grabaciones de audio.
Los métodos de los atacantes
El enlace que Gharib recibió lo llevó a una página de phishing que empleó un proveedor de DNS dinámico llamado DuckDNS, lo que complicó el rastreo de la ubicación real del ataque. Este método permite a los atacantes ocultar la dirección IP real de la página de phishing, haciéndola parecer un enlace legítimo de WhatsApp.
La página de phishing fue alojada en un dominio que fue registrado en noviembre de, y parece que la campaña no solo se limitó a WhatsApp, sino que también apuntó a otros servicios de reuniones virtuales.
Al intentar cargar la página, TechCrunch no pudo interactuar directamente con ella, pero la revisión del código proporcionó información valiosa sobre su funcionamiento.
Flujo de información y robo de credenciales
Al hacer clic en el enlace, los usuarios eran dirigidos a una página que simulaba el inicio de sesión de Gmail o solicitaba su número telefónico. Este flujo estaba diseñado para robar tanto la contraseña como el código de verificación en dos pasos de los usuarios.
Sin embargo, se descubrió un error en el código que permitió acceder a un archivo en el servidor de los atacantes que contenía registros de más de 850 víctimas que ingresaron sus credenciales.
Datos expuestos y vigilancia
Los registros incluían información sobre cada víctima, como nombres de usuario y contraseñas ingresadas, así como sus códigos de autenticación de dos factores. Este tipo de registro funciona como un keylogger, capturando cada acción realizada por el usuario en la página. Además, la campaña aparentemente permitía a los atacantes acceder a datos de ubicación y medios del dispositivo, lo que incrementa el riesgo de vigilancia.
En el caso de Gharib, al hacer clic en el enlace, la página mostraba un código QR diseñado para engañar a los usuarios a escanearlo, vinculado así su cuenta de WhatsApp a un dispositivo controlado por los atacantes. Esto es un enfoque conocido que explota la funcionalidad de vinculación de dispositivos de WhatsApp.
Implicaciones y posibles motivaciones
A pesar de que el origen de este ataque sigue siendo incierto, las implicaciones son profundas. La campaña, que ha sido efectiva en el robo de credenciales, podría estar asociada a un actor respaldado por el gobierno que busca recopilar información sobre individuos influyentes en Irán. Dado el contexto de aislamiento informático, es posible que el objetivo sea identificar redes de comunicación entre disidentes o activistas.
Por otro lado, también existe la posibilidad de que estos ataques sean perpetrados por grupos criminales motivados financieramente, que buscan obtener información valiosa que pueda ser vendida o utilizada para extorsionar a sus víctimas. Sin embargo, el enfoque en la vigilancia y la recolección de datos mediáticos sugiere que podría haber una intención más amplia detrás de estos ataques.
En conclusión, esta campaña de phishing resalta la creciente amenaza de ciberataques en el contexto actual de Irán. La combinación de tácticas de ingeniería social y tecnologías de ocultación de identidad plantea un desafío significativo para la seguridad digital de los individuos en la región.
