לפי דוח חדש של חברת הסייבר הישראלית Experis Cyber, שמציע מבט מעמיק על התקפות סייבר בישראל שהתרחשו בתקופה האחרונה, גורמים איראניים ביצעו קמפיין הנדסה חברתית נגד ישראלים, תוך התחזות להצעת עבודה בחברת רפאל הישראלית.
במסגרת המתקפה המאורגנת, שביצעה קבוצת תקיפה איראנית בשם UNC2428 יחד עם קבוצת Black Shadow האיראנית, שפועלת עבור משרד המודיעין האיראני ותקפה מגזרים רבים בישראל, הופנו הקורבנות לאתר מזויף שנראה כמו אתר רשמי של "רפאל" ושבו נדרשו להוריד קובץ בשם RafaelConnect.exe כדי להגיש מועמדות למשרה בחברה.
הקובץ שהורד היה תוכנת התקנה בשם LONEFLEET שהציגה ממשק גרפי למילוי פרטים אישיים והעלאת קורות חיים.
לאחר ההגשה, הופעלה ברקע דלת אחורית בשם MURKYTOUR באמצעות מפעיל בשם LEAFPILE, שנתן לתוקפים שליטה מתמשכת על המחשב. השימוש בממשק גרפי שנראה לגיטימי נועד להקטין את החשד מצד הקורבנות ולהסתיר את ההדבקה.
באירוע אחר, תוקפים איראנים הפיצו תוכנה מזויפת שהתחזתה לתוכנת GlobalProtect של Palo Alto ובה הוסתרה דלת אחורית בשם CACTUSPAL.
רומן מלכוב, מנהל ה-SOC ב-Cyber Experis: "אנחנו רואים לאחרונה מגמה ברורה של קבוצות תקיפה איראניות המשתמשות בטכניקות מתקדמות להנדסה חברתית, שמסתמכות על יצירת מראית עין אמינה מאוד. ניכר כי האיום האיראני לא מסתפק במתקפות על תשתיות – הוא מכוון ישירות לאזרחים דרך שיטות מתוחכמות, שמנצלות שאיפות לגיטימיות כמו מציאת עבודה. זו תזכורת כואבת לכך שהלחץ על המשתמש הפרטי הוא היום אחת החוליות החלשות במערך ההגנה הלאומי. לפיכך, חשוב שכל אחד ינקוט משנה זהירות, יבדוק היטב מקורות ולא ימהר להוריד קבצים או למסור מידע אישי".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו