Campagna di hacking mira a utenti di Gmail e WhatsApp in Medio Oriente.
TechCrunch ha pubblicato i propri risultati dopo aver convalidato gran parte del report di Gharib. Il sito di phishing è ora offline.
Gharib ha spiegato che il messaggio WhatsApp conteneva un link sospetto, il quale caricava una pagina di phishing nel browser della vittima. Gli attaccanti si sono avvalsi di un provider di DNS dinamico chiamato DuckDNS per questa campagna di phishing, utilizzando un sottodominio di duckdns.org per mascherare la vera posizione della pagina di phishing.
Non è chiaro se gli attaccanti abbiano chiuso il sito di phishing autonomamente o se siano stati scoperti e bloccati da DuckDNS. Abbiamo contattato DuckDNS, ma il suo proprietario, Richard Harper, ha richiesto di inviare un report per abusi invece.
Analisi dei dati e implicazioni
Il codice sorgente della pagina di phishing presentava un difetto: TechCrunch ha scoperto che modificando l’URL della pagina di phishing nel nostro browser, potevamo visualizzare un file sui server degli attaccanti che memorizzava i record di ogni vittima che aveva inserito le proprie credenziali. Questo file conteneva oltre 850 record di informazioni inviate da vittime durante il flusso di attacco.
I record dettagliavano ogni parte del processo di phishing in cui la vittima era coinvolta, comprese le copie dei nomi utente e delle password. Oltre al furto di credenziali, la campagna sembrava abilitare la sorveglianza, inducendo le vittime a condividere informazioni sulla loro posizione, audio e immagini dai loro dispositivi.
About The Author
