На Близькому Сході зафіксовано масштабну хакерську кампанію, спрямовану на компрометацію акаунтів користувачів Gmail і WhatsApp, зокрема тих, хто пов’язаний із іранськими протестами та іранською діаспорою. Перші повідомлення про атаку з’явилися після того, як британський активіст іранського походження Наріман Гарабі оприлюднив у Twitter скріншоти підозрілих фішингових посилань, отриманих через WhatsApp.
Про це розповідає ProIT
“Do not click on suspicious links,” Gharib warned. The activist, who is following the digital side of the Iranian protests from afar, said the campaign targeted people involved in Iran-related activities, such as himself.
Механізм хакерської атаки та вибір жертв
За інформацією експертів з кібербезпеки, зловмисники використовували динамічний DNS-сервіс DuckDNS для маскування справжнього розташування фішингових сторінок. Таке рішення дозволяє атакуючим змінювати IP-адреси серверів і створювати підроблені веб-адреси, схожі на офіційні посилання WhatsApp. Фішингові сторінки були розміщені на домені alex-fabow.online й інших пов’язаних серверах, зареєстрованих переважно у листопаді 2025 року.
Серед постраждалих — академіки, пов’язані з національною безпекою, керівники ізраїльських компаній, високопосадовці Лівану, журналісти, а також особи з американськими номерами телефонів. Виявлено понад 850 записів із викраденими даними жертв: імена користувачів, паролі, двофакторні коди авторизації, а також дані про пристрої та операційні системи (Windows, macOS, iPhone, Android).
Методи фішингу та крадіжки даних
Потрапивши на фішингову сторінку, жертва бачила підроблену форму входу в Gmail, де її просили ввести логін, пароль і двофакторний код. У деяких випадках користувачів перенаправляли на сторінку з QR-кодом у стилі WhatsApp, який, за задумом хакерів, жертва мала просканувати для входу у віртуальну кімнату. Насправді це дозволяло атакуючим під’єднати свій пристрій до акаунта жертви й отримати повний доступ до її даних у WhatsApp.
Фішинговий код також запитував дозвіл на доступ до геолокації, фото та аудіо з пристрою. Якщо користувач погоджувався, дані про його місцезнаходження, знімки та короткі аудіозаписи надсилалися атакуючим кожні кілька секунд. Подібні техніки фішингу використовувалися і проти користувачів інших месенджерів, зокрема Signal.
Дослідники безпеки проаналізували вихідний код фішингової сторінки й виявили вразливість, яка дозволила їм отримати доступ до файлу із записами всіх введених жертвами даних. У логах простежується повний ланцюжок атаки: від переходу за посиланням і введення некоректних паролів — до остаточного входу в акаунт із двофакторним підтвердженням.
Фахівці з кібербезпеки зазначають, що така кампанія могла бути організована як державними структурами, що займаються шпигунством (наприклад, підрозділами Корпусу вартових ісламської революції), так і фінансово мотивованими хакерськими угрупованнями. Деякі домени, пов’язані з атакою, раніше вже використовувалися у кіберзлочинних операціях із фінансовим підґрунтям. Не виключено, що іранська влада могла делегувати кібератаки стороннім злочинним групам, щоб приховати свою причетність.
Загальна кількість відомих постраждалих наразі не перевищує 50 осіб, однак потенційно жертв може бути значно більше, а сама кампанія здатна відновитися під новими доменами та схемами.
Експерти радять ніколи не активувати підозрілі посилання, навіть якщо вони надходять від знайомих контактів у WhatsApp або інших месенджерах, і ретельно перевіряти URL-адреси веб-сторінок, на які ведуть такі повідомлення.