На Ближнем Востоке зафиксирована масштабная хакерская кампания, направленная на компрометацию аккаунтов пользователей Gmail и WhatsApp, в частности тех, кто связан с иранскими протестами и иранской диаспорой. Первые сообщения об атаке появились после того, как британский активист иранского происхождения Нариман Гараби опубликовал в Twitter скриншоты подозрительных фишинговых ссылок, полученных через WhatsApp.
Об этом сообщает ProIT
«Не нажимайте на подозрительные ссылки,» — предостерег Гараби. Активист, который следит за цифровой стороной иранских протестов издалека, сообщил, что кампания нацелена на людей, занимающихся деятельностью, связанной с Ираном, таких как он сам.
Механизм хакерской атаки и выбор жертв
По информации экспертов в области кибербезопасности, злоумышленники использовали динамический DNS-сервис DuckDNS для маскировки истинного расположения фишинговых страниц. Такое решение позволяет атакующим изменять IP-адреса серверов и создавать поддельные веб-адреса, похожие на официальные ссылки WhatsApp. Фишинговые страницы были размещены на домене alex-fabow.online и других связанных серверах, зарегистрированных преимущественно в ноябре 2025 года.
Среди пострадавших — академики, связанные с национальной безопасностью, руководители израильских компаний, высокопоставленные лица Ливана, журналисты, а также лица с американскими номерами телефонов. Выявлено более 850 записей с украденными данными жертв: имена пользователей, пароли, двухфакторные коды авторизации, а также данные о устройствах и операционных системах (Windows, macOS, iPhone, Android).
Методы фишинга и кражи данных
Попав на фишинговую страницу, жертва видела поддельную форму входа в Gmail, где ее просили ввести логин, пароль и двухфакторный код. В некоторых случаях пользователей перенаправляли на страницу с QR-кодом в стиле WhatsApp, который, по замыслу хакеров, жертва должна была просканировать для входа в виртуальную комнату. На самом деле это позволяло атакующим подключить свое устройство к аккаунту жертвы и получить полный доступ к ее данным в WhatsApp.
Фишинговый код также запрашивал разрешение на доступ к геолокации, фото и аудио с устройства. Если пользователь соглашался, данные о его местоположении, снимки и короткие аудиозаписи отправлялись атакующим каждые несколько секунд. Подобные техники фишинга использовались и против пользователей других мессенджеров, в частности Signal.
Исследователи безопасности проанализировали исходный код фишинговой страницы и выявили уязвимость, которая позволила им получить доступ к файлу с записями всех введенных жертвами данных. В логах прослеживается полный цепочка атаки: от перехода по ссылке и ввода некорректных паролей — до окончательного входа в аккаунт с двухфакторным подтверждением.
Специалисты по кибербезопасности отмечают, что такая кампания могла быть организована как государственными структурами, занимающимися шпионажем (например, подразделениями Корпуса стражей исламской революции), так и финансово мотивированными хакерскими группировками. Некоторые домены, связанные с атакой, ранее уже использовались в киберпреступных операциях с финансовым подтекстом. Не исключено, что иранская власть могла делегировать кибератаки сторонним преступным группам, чтобы скрыть свою причастность.
Общее количество известных пострадавших на данный момент не превышает 50 человек, однако потенциально жертв может быть значительно больше, а сама кампания способна возобновиться под новыми доменами и схемами.
Эксперты советуют никогда не активировать подозрительные ссылки, даже если они приходят от знакомых контактов в WhatsApp или других мессенджерах, и тщательно проверять URL-адреса веб-страниц, на которые ведут такие сообщения.