Protestos no Irã provocam nova campanha de ciberespionagem aproveitando malware

Pesquisadores da Unidade de Pesquisa de Ameaças da Acronis (TRU) descobriram uma campanha de ciberespionagem chamada CRESCENTHARVEST, visando iranianos falantes de farsi — principalmente indivíduos que buscam informações sobre protestos em curso, bem como seus apoiadores no exterior. De acordo com o relatório, a operação visa o roubo de dados e vigilância de longo prazo.

A atividade foi observada desde o início de janeiro, pouco depois que os protestos em massa começaram. A Acronis observa que os atacantes capitalizam o interesse público na agitação para construir confiança com potenciais vítimas. Como parte do esquema de engenharia social, os alvos recebem arquivos contendo fotos e vídeos relacionados aos protestos que parecem legítimos, juntamente com documentos em língua farsi e outros materiais apresentados como atualizações oportunas.

Dentro desses arquivos, os pesquisadores identificaram dois arquivos .LNK maliciosos disfarçados como imagens e vídeos usando extensões de arquivo enganosas. Quando abertos, um script PowerShell incorporado é executado, implantando o malware CRESCENTHARVEST. A carga útil combina funcionalidade de acesso remoto (RAT) com capacidades de roubo de dados.

Este caso reflete uma tendência mais ampla anteriormente observada em pesquisas da Kaspersky: os atores de ameaças exploram cada vez mais notícias de última hora e eventos politicamente sensíveis para aumentar a eficácia das campanhas de phishing. Ao mesmo tempo, os eventos no Irã — juntamente com incidentes anteriores no Peru — ilustram a crescente sofisticação de tais operações. Os atacantes estão indo além de tentativas simples de phishing em uma etapa para campanhas de várias etapas focadas em estabelecer confiança antes de entregar cargas úteis maliciosas. Outro aspecto notável desta campanha é a mudança de alvos corporativos para grupos social e politicamente alinhados.