Até 25 sites relacionados à minoria curda foram comprometidos como parte de um ataque watering hole destinado a colher informações sensíveis por mais de um ano e meio.
A empresa francesa de cibersegurança Sekoia, que divulgou detalhes da campanha denominada SilentSelfie, descreveu o conjunto de intrusões como de longa duração, com os primeiros sinais de infecção detectados já em dezembro de 2022.
Os comprometimentos web estratégicos são projetados para entregar quatro variantes diferentes de um framework de roubo de informações, acrescentou.
"Estas variaram desde as mais simples, que apenas roubavam a localização do usuário, até as mais complexas que gravavam imagens da câmera selfie e levavam usuários selecionados a instalar um APK malicioso, ou seja, uma aplicação usada no Android," os pesquisadores de segurança Felix Aimé e Maxime A. disseram em um relatório de quarta-feira(26).
Os sites alvo incluem imprensa e mídia curda, administração de Rojava e suas forças armadas, aqueles relacionados a partidos políticos e organizações de extrema esquerda revolucionária na Türkiye e regiões curdas.
A Sekoia informou ao The Hacker News que o método exato pelo qual esses sites foram violados inicialmente ainda é incerto.
Os ataques não foram atribuídos a nenhum ator ou entidade de ameaça conhecida, indicando o surgimento de um novo cluster de ameaças visando a comunidade curda, que já foi previamente visada por grupos como StrongPity e BladeHawk.
No início deste ano, a empresa holandesa de segurança Hunt & Hackett também revelou que sites curdos na Holanda foram alvo de um ator de ameaça com vínculos na Türkiye conhecido como Sea Turtle.
Os ataques watering hole são caracterizados pela implantação de um JavaScript malicioso responsável por coletar vários tipos de informações dos visitantes do site, incluindo sua localização, dados do dispositivo (por exemplo, número de CPUs, status da bateria, idioma do navegador, etc.) e endereço IP público, entre outros.
Uma variante do script de reconhecimento encontrado em três sites (rojnews[.]news, hawarnews[.]com e targetplatform[.]net) também foi observada redirecionando usuários para arquivos APK Android falsos, enquanto alguns outros incluem a capacidade de rastreamento do usuário via um cookie denominado "sessionIdVal".
O aplicativo Android, conforme a análise da Sekoia, incorpora o próprio site como um WebView, enquanto também coleta clandestinamente informações do sistema, listas de contatos, localização e arquivos presentes no armazenamento externo com base nas permissões concedidas a ele.
"Vale ressaltar que este código malicioso não possui nenhum mecanismo de persistência, mas é executado apenas quando o usuário abre o aplicativo RojNews", os pesquisadores apontaram.
Uma vez que o usuário abre o aplicativo, e após 10 segundos, o serviço LocationHelper começa a enviar sinais de fundo para a URL rojnews[.]news/wp-includes/sitemaps/ via solicitações HTTP POST, compartilhando a localização atual do usuário e aguardando comandos para executar.
Não se sabe muito sobre quem está por trás de SilentSelfie, mas a Sekoia avaliou que poderia ser um trabalho do Governo Regional do Curdistão no Iraque, com base na prisão do jornalista Silêman Ehmed da RojNews pelas forças do KDP em outubro de 2023.
Ele foi condenado a três anos de prisão em julho de 2024.
"Embora esta campanha de watering hole seja de baixa sofisticação, é notável pelo número de sites curdos afetados e sua duração," disseram os pesquisadores.
O baixo nível de sofisticação da campanha sugere que pode ser o trabalho de um ator de ameaça não descoberto com capacidades limitadas e relativamente novo no campo.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...