Посмотрел видео с митинга — отдал пароль хакерам. Будни иранского активиста

ИБ-специалисты из компании Acronis зафиксировали новую кибершпионажную кампанию CRESCENTHARVEST, которая, по их оценке, направлена против сторонников продолжающихся протестов в Иране. Злоумышленники используют политическую повестку как приманку и распространяют вредоносное ПО для скрытого доступа к устройствам и кражи данных.

Активность началась 10 января. Атаки строятся вокруг заражённых файлов формата LNK, замаскированных под изображения и видеоролики с протестов. В архиве с такими файлами злоумышленники размещают реальные медиаматериалы и отчёт на фарси с описанием событий в «мятежных городах Ирана». Такая подача рассчитана на иранцев, поддерживающих протестное движение.

Пользователь получает RAR-архив, который якобы содержит материалы о протестах. Внутри находятся фото и видео, а также ярлыки с двойным расширением вроде «.jpg.lnk» или «.mp4.lnk». После запуска ярлык открывает безобидный файл, чтобы не вызвать подозрений, и одновременно через PowerShell загружает дополнительный ZIP-архив. В нём скрыт легитимный подписанный Google исполняемый файл «software_reporter_tool.exe» и несколько библиотек. Две из них злоумышленники подменяют, чтобы запустить собственный код через механизм подгрузки DLL.

Одна вредоносная библиотека извлекает и расшифровывает ключи шифрования Chrome, другая — собственно модуль CRESCENTHARVEST — обеспечивает удалённый доступ. Он собирает сведения о системе, учётных записях, установленных средствах защиты, крадёт пароли и cookies браузеров, историю посещений, данные Telegram Desktop, перехватывает нажатия клавиш и позволяет выполнять команды на устройстве. Для связи с сервером управления используется WinHTTP, что помогает маскировать трафик под обычную сетевую активность. Адрес управления зарегистрирован как servicelog-information.com.

Авторы отчёта полагают, что за кампанией стоит группа, связанная с Ираном, хотя прямых доказательств причастности нет. По способам проникновения операция напоминает прошлые атаки иранских хакерских объединений, таких как Charming Kitten и Tortoiseshell, которые годами выстраивали доверительные отношения с жертвами перед заражением их устройств. В январе французская компания HarfangLab также описала активность кластера RedKitten, нацеленного на НКО и людей, документирующих нарушения прав человека, с использованием бэкдора SloppyMIO.

На этом фоне усиливаются и внутренние механизмы цифрового контроля. The New York Times ранее сообщила, что власти Ирана отслеживали местоположение участников протестов через мобильные телефоны и рассылали предупреждения о фиксации их присутствия на «незаконных собраниях». По данным правозащитной группы Holistic Resilience, некоторым пользователям после публикаций о протестах блокировали SIM-карты.

Отдельные аналитики связывают такие меры с развитием Национальной информационной сети Ирана — инфраструктуры, которая позволяет гибко ограничивать доступ к сервисам и контролировать цифровую активность. В совокупности с социальной инженерией и вредоносными программами вроде 2Ac2 RAT это формирует устойчивую систему наблюдения за инакомыслящими.