Iraanse hackers doen zich voor als Duitse supermodellen om hun slachtoffers te verleiden. Via een valse website die het modellenagentschap Mega Model Agency imiteerde, trachtten cybercriminelen bezoekers te misleiden. De geavanceerde phishing-campagne werd ontdekt door cybersecurityonderzoekers van Palo Alto Networks.
De hackers bouwden een haast identieke kopie van de authentieke website van het modellenbureau, compleet met valse profielen in een privé-album die als lokaas dienden. De nepwebsite verving een echt modelprofiel door een vals profiel. Wanneer bezoekers op de link klikten, werd verborgen JavaScript-code geactiveerd die automatisch gedetailleerde informatie verzamelde, zoals IP-adres en browserinstellingen. Deze data-punten stelden de aanvallers in staat om doelwitten selectief te identificeren en te profileren.
Dit suggereert voorbereiding voor gerichte social engineering-aanvallen, waarbij het valse profiel als lokaas zou dienen. Hoewel directe slachtofferinteractie nog niet is waargenomen, is het waarschijnlijk dat slachtoffers via spear phishing naar de valse website zouden worden geleid.
Volgens de onderzoekers wijzen de complexiteit, methoden en doelgroep van de operatie naar een Iraanse dreigingsgroep. Ze vermoeden dat de beruchte hackergroep Charming Kitten, ook bekend als APT35, achter de campagne zit. Deze groep staat bekend om haar banden met de Iraanse autoriteiten en richt zich specifiek op Iraanse dissidenten, journalisten en activisten, vooral degenen die in het buitenland wonen.
Grotere operatie
Volgens de onderzoekers van Palo Alto Networks gaat het om een nieuwe evolutie in de Iraanse cyberespionage. ‘Zowel individuen als organisaties doen er goed aan om ongevraagde contacten met ogenschijnlijk aantrekkelijke aanbiedingen met de nodige voorzichtigheid te benaderen’, opperen ze. ‘Controleer altijd zelf de betrouwbaarheid van contactpersonen, websites en aanbiedingen voordat je ingaat op het verzoek of gevoelige informatie deelt.’
Sinds dit jaar zijn meer dan 130 unieke domeinen en talrijke subdomeinen aan soortgelijke campagnes gekoppeld, wat wijst op een bredere infrastructuur en escalatie van kwaadaardige activiteiten.
