Na terça-feira, um activista iraniano baseado na Grã-Bretanha Nariman Gharib Ele tuitou uma captura de tela modificada de um link de phishing enviado a ele por mensagem do WhatsApp.
“Não clique em links suspeitos”, alertou Gharib. Um ativista que acompanha de longe o lado digital dos protestos iranianos disse que a campanha tinha como alvo pessoas como ele, envolvidas em atividades relacionadas ao Irã.
A campanha de hackers ocorre no momento em que o Irã enfrenta o mais longo desligamento nacional da Internet na história devido a protestos antigovernamentais e repressões violentas em todo o país. Considerando que o Irão e os seus inimigos mais próximos são muito activos no ciberespaço agressivo (leia-se: hacking), queríamos saber mais.
Gharib compartilhou o link completo de phishing com o TechCrunch logo após a postagem, permitindo-lhes capturar uma cópia do código-fonte da página de phishing usada no ataque. Ele também Ele compartilhou suas descobertas de pesquisa..
O TechCrunch analisou o código-fonte da página de phishing e, com base em informações adicionais de pesquisadores de segurança, parece que o objetivo da campanha era roubar o Gmail e outras credenciais online, comprometer contas do WhatsApp e realizar vigilância roubando dados de localização, fotos e gravações de áudio.
Mas não está claro se os hackers eram agentes ligados ao governo, espiões, cibercriminosos ou todos os três.
O TechCrunch também identificou uma maneira de visualizar uma cópia ao vivo de todas as respostas das vítimas armazenadas nos servidores do invasor. Esta cópia é exposta e acessível sem senha. Esses dados revelaram dezenas de vítimas que podem ter sido hackeadas após inserirem inadvertidamente suas credenciais em um site de phishing.
A lista inclui estudiosos do Médio Oriente que trabalham em estudos de segurança nacional. Presidente de um fabricante israelense de drones; Ministro Sênior do Gabinete Libanês; Pelo menos um repórter; Pessoas que estão localizadas nos Estados Unidos ou têm um número de telefone nos EUA.
O TechCrunch verificou a maioria dos relatórios de Gharib e está publicando suas descobertas. O site de phishing está fora do ar.
Dentro da cadeia de ataque
Segundo Gharib, a mensagem do WhatsApp que recebeu continha um link suspeito que carregava um site de phishing no navegador da vítima.
O link mostra que os invasores confiaram em um provedor de DNS dinâmico chamado DuckDNS para sua campanha de phishing. Um provedor de DNS dinâmico permite associar um endereço da web do qual as pessoas se lembrarão. duckdns.org Subdomínio — Um servidor cujo endereço IP pode mudar frequentemente.
Não está claro se os próprios invasores derrubaram o site de phishing ou se ele foi bloqueado pelo DuckDNS. Entramos em contato com o DuckDNS, mas o proprietário Richard Harper nos pediu para enviar uma denúncia de abuso.
Pelo que sabemos, os invasores usaram o DuckDNS para mascarar a localização real da página de phishing, possivelmente fazendo com que parecesse um link genuíno do WhatsApp.
A página de phishing estava hospedada em: alex-fabow.onlineEste domínio foi registrado pela primeira vez no início de novembro de 2025. Este domínio tem vários outros domínios relacionados hospedados nos mesmos servidores dedicados, e esses nomes de domínio seguem um padrão que sugere que a campanha também teve como alvo outros provedores de salas de reuniões virtuais, incluindo: meet-safe.online e whats-login.online.
Não está claro o que acontece enquanto um link DuckDNS é carregado no navegador da vítima ou como o link determina qual página de phishing específica carregar. Os links DuckDNS podem redirecionar alvos para páginas de phishing específicas com base nas informações coletadas do dispositivo do usuário.
As páginas de phishing não são carregadas em navegadores da web, portanto não podemos interagir diretamente com elas. No entanto, a leitura do código-fonte da página nos deu uma melhor compreensão de como o ataque funcionou.
Credenciais e números de telefone do Gmail de phishing
Dependendo do alvo, tocar no link de phishing abrirá uma página falsa de login do Gmail ou iniciará um fluxo de ataque que solicitará seu número de telefone e roubará sua senha e código de autenticação de dois fatores.
No entanto, havia pelo menos uma falha no código-fonte da página de phishing. O TechCrunch descobriu que se você modificar o URL da página de phishing em seu navegador, poderá ver um arquivo no servidor do invasor que armazena um registro de cada vítima que inseriu suas credenciais.
Os arquivos continham mais de 850 registros de informações enviadas pelas vítimas durante o ataque. Esses registros detalham cada parte do fluxo de phishing do qual a vítima fazia parte. Continha uma cópia do nome de usuário e senha que a vítima havia inserido na página de phishing, bem como entradas inválidas e códigos de dois fatores, atuando efetivamente como um keylogger.
Os registros também contêm uma sequência de texto que identifica o agente do usuário de cada vítima, ou seja, o sistema operacional e a versão do navegador utilizados para visualizar o site. Esses dados mostram que a campanha foi projetada para usuários de Windows, macOS, iPhone e Android.
Os arquivos expostos nos permitiram rastrear passo a passo o fluxo de ataque de cada vítima. Em um caso, os arquivos expostos mostraram a vítima clicando em um link malicioso, que abriu uma página que parecia uma janela de login do Gmail. Os registros mostram as vítimas inserindo suas credenciais de e-mail várias vezes até inserirem a senha correta.
Os registros mostram que a mesma vítima inseriu um código de verificação em duas etapas enviado por mensagem de texto. Você saberá disso porque o Google envia o código de segundo nível em um formato específico (geralmente). G-xxxxxx(incluindo código numérico de 6 dígitos).
Sequestro de WhatsApp e vazamento de dados do navegador
Além do roubo de credenciais, a campanha parecia permitir a vigilância, enganando as vítimas para que compartilhassem sua localização, áudio e fotos de seus dispositivos.
No caso de Gharib, tocar no link da mensagem de phishing abriu uma página falsa com o tema WhatsApp em seu navegador exibindo um código QR. Essa isca visa obter acesso a uma sala de conferência virtual, enganando o alvo para que ele escaneie um código em seu dispositivo.
Gharib disse que o código QR foi criado pelos invasores e que escaneá-lo ou tocá-lo conectaria imediatamente a conta do WhatsApp da vítima a um dispositivo controlado pelos invasores, dando-lhes acesso aos dados da vítima. Esta é uma técnica de ataque conhecida há muito tempo, Recurso de conexão de dispositivo WhatsApp E igualmente abusado Segmentar usuários do aplicativo de mensagens Signal.
Pedimos à fundadora da Granitt, Runa Sandvik, uma pesquisadora de segurança que ajuda a proteger indivíduos em risco, que examinasse uma cópia do código da página de phishing e descobrisse como ela funciona.
A Sandvik descobriu que quando a página é carregada, o código aciona uma notificação no navegador solicitando permissão ao usuário para acessar sua localização. navigator.geolocation), fotos e áudio (navigator.getUserMedia).
Depois de aprovado, o navegador envia imediatamente ao invasor as coordenadas de uma pessoa que consegue identificar a localização da vítima. A página continua a compartilhar os dados de localização da vítima a cada poucos segundos enquanto a página está aberta.
O código também permitiu que os invasores usassem a câmera do dispositivo para gravar rajadas de áudio e tirar fotos a cada três a cinco segundos. No entanto, nenhum dos dados de localização, áudio ou imagens coletados no servidor foi verificado.
Reflexões sobre vítima, ciúme e atribuição
Não sabemos quem está por trás desta campanha. O que está claro é que esta campanha teve sucesso no roubo das credenciais das vítimas e é provável que a campanha de phishing ressurgirá.
Embora conheçamos as identidades de algumas pessoas do grupo-alvo de vítimas, não temos informações suficientes para compreender a natureza da campanha. O número de vítimas hackeadas por esta campanha (que tenhamos conhecimento) é bastante baixo, menos de 50, e afecta não apenas pessoas comuns da comunidade curda, mas também académicos, funcionários do governo, líderes empresariais e outras figuras de alto escalão na diáspora iraniana e no Médio Oriente.
Pode haver muito mais vítimas do que imaginamos, e isto pode ajudar-nos a compreender quem está a ser alvo e potencialmente porquê.
Casos de possíveis atores patrocinados pelo governo
Não está claro o que motivou os hackers a roubar as credenciais das pessoas e assumir o controle de suas contas do WhatsApp. Isso também pode ajudar a identificar quem está por trás dessa campanha de hackers.
Por exemplo, grupos apoiados pelo governo podem roubar palavras-passe de e-mail e códigos de dois fatores de alvos sensíveis, como políticos ou jornalistas, para descarregar informações pessoais e confidenciais.
Isto pode fazer sentido, uma vez que o Irão está actualmente quase completamente isolado do mundo exterior e é difícil obter informações tanto dentro como fora do país. Tanto o governo iraniano como os governos estrangeiros com interesse nos assuntos iranianos provavelmente quererão saber com quem indivíduos influentes com ligações ao Irão estão a comunicar e sobre o que estão a comunicar.
Portanto, o momento e o alvo desta campanha de phishing podem apontar para uma campanha de espionagem destinada a recolher informações sobre um pequeno número de pessoas.
Pedimos a Gary Miller, pesquisador de segurança e especialista em espionagem móvel do Citizen Lab, que revisasse alguns dos códigos e dados de phishing expostos nos servidores do invasor.
Miller disse que o ataque “tinha claramente as características de uma campanha de spearphishing ligada ao IRGC”. Esta é uma referência a hacks de e-mail altamente direcionados realizados pelo Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), um ramo das forças armadas iranianas conhecido por realizar ataques cibernéticos. Miller destacou que há muitos sinais, incluindo o alcance internacional da segmentação de vítimas, roubo de credenciais, abuso de plataformas de mensagens populares como o WhatsApp e técnicas de engenharia social usadas em links de phishing.
Existe a possibilidade de o ator ter motivação financeira.
Por outro lado, hackers com motivação financeira podem usar as mesmas senhas roubadas do Gmail e códigos de dois fatores de outros alvos confidenciais, como executivos de empresas, para roubar informações comerciais proprietárias e confidenciais de suas caixas de entrada. Os hackers também podem forçar a redefinição das senhas das criptomoedas e das contas bancárias das vítimas, esvaziando suas carteiras.
No entanto, as campanhas centradas no acesso à localização das vítimas e aos meios de comunicação dos dispositivos utilizam frequentemente fotografias e gravações de áudio, com pouca utilidade para intervenientes com motivação financeira.
Pedimos a Ian Campbell, pesquisador de ameaças da DomainTools, que ajuda a analisar o histórico público da Internet, que nos ajudasse a analisar os nomes de domínio usados na campanha para entender quando foram configurados pela primeira vez e se esses domínios estão conectados a outra infraestrutura previamente conhecida ou identificada.
Campbell descobriu que, embora a campanha tivesse como alvo as vítimas dos protestos nacionais no Irão, a sua infra-estrutura tinha sido construída semanas antes. Ele acrescentou que a maioria dos domínios vinculados a esta campanha foram registrados no início de novembro de 2025, com um domínio relacionado criado alguns meses antes, em agosto de 2025. Campbell descreveu o domínio como de médio a alto risco e disse que parecia estar vinculado a uma operação de crime cibernético com motivação financeira.
Outro problema é que o governo iraniano é conhecido por terceirizar ataques cibernéticos para grupos criminosos de hackers. É provável que isto proteja contra o envolvimento iraniano em operações de pirataria informática contra os seus próprios cidadãos. O Departamento do Tesouro dos EUA Empresas iranianas sujeitas a sanções no passado É acusado de agir como fachada para o IRGC do Irão e de realizar ataques cibernéticos, incluindo o lançamento de ataques direcionados de phishing e de engenharia social.
Miller diz: “Isso nos faz perceber que clicar em links não solicitados do WhatsApp, por mais persuasivos que sejam, é uma prática de alto risco e insegura”.
Para entrar em contato com este repórter com segurança, use o Signal com nome de usuário: zackwhittaker.1337.
Lorenzo Franceschi-Bicchierai contribuiu com reportagem.
