📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma aparente campanha de hacking de aluguel, provavelmente orquestrada por um agente ameaçador com suspeitas de ligações com o governo indiano, tinha como alvo jornalistas, ativistas e funcionários do governo em todo o Oriente Médio e Norte da África (MENA), de acordo com descobertas do Access Now, Lookout e SMEX.
Dois dos alvos incluíam jornalistas egípcios proeminentes e críticos do governo, Mostafa Al-A'sar e Ahmed Eltantawy, que foram vítimas de uma série de ataques de spear-phishing que tentaram comprometer suas contas da Apple e do Google em outubro de 2023 e janeiro de 2024, direcionando-os para páginas falsas que os enganaram para que inserissem suas credenciais e códigos de autenticação de dois fatores (2FA).
"Os ataques foram realizados de 2023 a 2024, e ambos os alvos são críticos proeminentes do governo egípcio que já enfrentaram prisão política; um deles foi anteriormente alvo de spyware", disse a Linha Direta de Segurança Digital da Access Now.
Também destacado como parte desses esforços foi um jornalista libanês anônimo, que recebeu mensagens de phishing em maio de 2025 por meio do aplicativo Apple Messages e do WhatsApp contendo links maliciosos que, quando clicados, enganavam os usuários para que inserissem as credenciais de suas contas como parte de uma suposta etapa de verificação da Apple.
“A campanha de phishing incluiu ataques persistentes via iMessage/Apple Messenger e aplicativo WhatsApp, [...] representando o suporte da Apple”, disse SMEX, uma organização sem fins lucrativos de direitos digitais na região da Ásia Ocidental e Norte da África (WANA). “Embora o foco principal desta campanha pareça ser os serviços da Apple, as evidências sugerem que outras plataformas de mensagens, nomeadamente Telegram e Signal, também foram visadas.”
No caso de Al-A'sar, o ataque de spearphishing com o objetivo de comprometer sua conta do Google começou com uma mensagem no LinkedIn de um fantoche chamado "Haifa Kareem", que o abordou com uma oportunidade de emprego. Depois que o jornalista compartilhou seu número de celular e endereço de e-mail com o usuário do LinkedIn, ele recebeu um e-mail deste último em 24 de janeiro de 2024, instruindo-o a participar de uma chamada do Zoom clicando em um link encurtado usando Rebrandly.
O URL foi avaliado como um ataque de phishing baseado em consentimento que utiliza o OAuth 2.0 do Google para conceder ao invasor acesso não autorizado à conta da vítima por meio de um aplicativo da Web malicioso chamado "en-account.info".
"Ao contrário do ataque anterior, em que o invasor se passou por um login de conta da Apple e usou um domínio falso, este ataque emprega o consentimento do OAuth para aproveitar ativos legítimos do Google para enganar os alvos e fazê-los fornecer suas credenciais", disse Access Now.
"Se o usuário alvo não estiver conectado ao Google, ele será solicitado a inserir suas credenciais (nome de usuário e senha). Mais comummente, se o usuário já estiver conectado, ele será solicitado a conceder permissão a um aplicativo que o invasor controla, usando um recurso de login de terceiros que é familiar para a maioria dos usuários do Google."
Alguns dos domínios usados nesses ataques de phishing estão listados abaixo:
signin-apple.com-en-uk[.]co
id-apple.com-pt[.]io
facetime.com-pt[.]io
secure-signal.com-pt[.]io
telegram.com-en[.]io
verifique-apple.com-ae[.]net
join-facetime.com-ae[.]net
android.com-ae[.]net
criptografia-plug-in-signal.com-ae[.]net
Curiosamente, o uso do domínio "com-ae[.]net" se sobrepõe a uma campanha de spyware para Android que a empresa eslovaca de segurança cibernética ESET documentou em outubro de 2025, destacando o uso de sites enganosos que se fazem passar por Signal, ToTok e Botim para implantar ProSpy e ToSpy em alvos não especificados nos Emirados Árabes Unidos.
Especificamente, o domínio "encryption-plug-in-signal.com-ae[.]net" foi usado como vetor de acesso inicial para ProSpy, alegando ser um plug-in de criptografia inexistente para Signal. O spyware vem equipado com recursos para exfiltrar dados confidenciais, como contatos, mensagens SMS, metadados de dispositivos e arquivos locais.
Nenhuma das contas dos jornalistas egípcios acabou por ser infiltrada. No entanto, a SMEX revelou que o ataque inicial direcionado ao jornalista libanês em 19 de maio de 2025 comprometeu completamente sua conta Apple e resultou na adição de um dispositivo virtual à conta para obter acesso persistente aos dados da vítima. A segunda onda de ataques não teve sucesso.
Embora não haja evidências de que os três jornalistas tenham sido alvo de spyware, as evidências mostram que os agentes da ameaça podem usar os métodos e a infraestrutura associados aos ataques para entregar cargas maliciosas e exfiltrar dados confidenciais.
"Isso sugere que a operação que identificamos pode fazer parte de um esforço de vigilância regional mais amplo destinado a monitorar comunicações e coletar dados pessoais", disse Access Now.
A Lookout, em sua própria análise dessas campanhas, atribuiu os esforços díspares a uma operação de hack-for-hire ligada ao Bitter, um grupo de ameaças que é assos
Dois dos alvos incluíam jornalistas egípcios proeminentes e críticos do governo, Mostafa Al-A'sar e Ahmed Eltantawy, que foram vítimas de uma série de ataques de spear-phishing que tentaram comprometer suas contas da Apple e do Google em outubro de 2023 e janeiro de 2024, direcionando-os para páginas falsas que os enganaram para que inserissem suas credenciais e códigos de autenticação de dois fatores (2FA).
"Os ataques foram realizados de 2023 a 2024, e ambos os alvos são críticos proeminentes do governo egípcio que já enfrentaram prisão política; um deles foi anteriormente alvo de spyware", disse a Linha Direta de Segurança Digital da Access Now.
Também destacado como parte desses esforços foi um jornalista libanês anônimo, que recebeu mensagens de phishing em maio de 2025 por meio do aplicativo Apple Messages e do WhatsApp contendo links maliciosos que, quando clicados, enganavam os usuários para que inserissem as credenciais de suas contas como parte de uma suposta etapa de verificação da Apple.
“A campanha de phishing incluiu ataques persistentes via iMessage/Apple Messenger e aplicativo WhatsApp, [...] representando o suporte da Apple”, disse SMEX, uma organização sem fins lucrativos de direitos digitais na região da Ásia Ocidental e Norte da África (WANA). “Embora o foco principal desta campanha pareça ser os serviços da Apple, as evidências sugerem que outras plataformas de mensagens, nomeadamente Telegram e Signal, também foram visadas.”
No caso de Al-A'sar, o ataque de spearphishing com o objetivo de comprometer sua conta do Google começou com uma mensagem no LinkedIn de um fantoche chamado "Haifa Kareem", que o abordou com uma oportunidade de emprego. Depois que o jornalista compartilhou seu número de celular e endereço de e-mail com o usuário do LinkedIn, ele recebeu um e-mail deste último em 24 de janeiro de 2024, instruindo-o a participar de uma chamada do Zoom clicando em um link encurtado usando Rebrandly.
O URL foi avaliado como um ataque de phishing baseado em consentimento que utiliza o OAuth 2.0 do Google para conceder ao invasor acesso não autorizado à conta da vítima por meio de um aplicativo da Web malicioso chamado "en-account.info".
"Ao contrário do ataque anterior, em que o invasor se passou por um login de conta da Apple e usou um domínio falso, este ataque emprega o consentimento do OAuth para aproveitar ativos legítimos do Google para enganar os alvos e fazê-los fornecer suas credenciais", disse Access Now.
"Se o usuário alvo não estiver conectado ao Google, ele será solicitado a inserir suas credenciais (nome de usuário e senha). Mais comummente, se o usuário já estiver conectado, ele será solicitado a conceder permissão a um aplicativo que o invasor controla, usando um recurso de login de terceiros que é familiar para a maioria dos usuários do Google."
Alguns dos domínios usados nesses ataques de phishing estão listados abaixo:
signin-apple.com-en-uk[.]co
id-apple.com-pt[.]io
facetime.com-pt[.]io
secure-signal.com-pt[.]io
telegram.com-en[.]io
verifique-apple.com-ae[.]net
join-facetime.com-ae[.]net
android.com-ae[.]net
criptografia-plug-in-signal.com-ae[.]net
Curiosamente, o uso do domínio "com-ae[.]net" se sobrepõe a uma campanha de spyware para Android que a empresa eslovaca de segurança cibernética ESET documentou em outubro de 2025, destacando o uso de sites enganosos que se fazem passar por Signal, ToTok e Botim para implantar ProSpy e ToSpy em alvos não especificados nos Emirados Árabes Unidos.
Especificamente, o domínio "encryption-plug-in-signal.com-ae[.]net" foi usado como vetor de acesso inicial para ProSpy, alegando ser um plug-in de criptografia inexistente para Signal. O spyware vem equipado com recursos para exfiltrar dados confidenciais, como contatos, mensagens SMS, metadados de dispositivos e arquivos locais.
Nenhuma das contas dos jornalistas egípcios acabou por ser infiltrada. No entanto, a SMEX revelou que o ataque inicial direcionado ao jornalista libanês em 19 de maio de 2025 comprometeu completamente sua conta Apple e resultou na adição de um dispositivo virtual à conta para obter acesso persistente aos dados da vítima. A segunda onda de ataques não teve sucesso.
Embora não haja evidências de que os três jornalistas tenham sido alvo de spyware, as evidências mostram que os agentes da ameaça podem usar os métodos e a infraestrutura associados aos ataques para entregar cargas maliciosas e exfiltrar dados confidenciais.
"Isso sugere que a operação que identificamos pode fazer parte de um esforço de vigilância regional mais amplo destinado a monitorar comunicações e coletar dados pessoais", disse Access Now.
A Lookout, em sua própria análise dessas campanhas, atribuiu os esforços díspares a uma operação de hack-for-hire ligada ao Bitter, um grupo de ameaças que é assos
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #bitterlinked #hackforhire #tem #como #alvo #jornalistas #em #toda #a #região #mena
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário