קבוצת תקיפה איראנית התחזתה לאתר הקריירה של רפאל והפיצה קובץ זדוני שהעניק שליטה מלאה על מחשבי קורבנות בישראל. מומחי סייבר מזהירים: יש להקפיד על עדכונים ולאמת זהויות בקפדנות
חברת הסייבר Experis Cyber חשפה השבוע כי קבוצת תקיפה איראנית הפעילה קמפיין הנדסה חברתית מתוחכם נגד אזרחים ישראלים, במסגרתו התחזו לאתר הקריירה של חברת הביטחונית רפאל – מפתחת כיפת ברזל, קלע דוד ועוד.
לפי הדיווח, במהלך אוקטובר 2024 קיבלו ישראלים הודעות ודוא״לים עם קישור לאתר מזויף של רפאל, שבו הוצעה עבודה מפתה. באתר נדרשו הקורבנות להוריד קובץ בשם RafaelConnect.exe, שבפועל התקין תוכנה זדונית בשם LONEFLEET. התוכנה הפעילה דלת אחורית בשם MURKYTOUR שאפשרה לתוקפים שליטה מלאה ומתמשכת במחשבי הקורבנות, תוך הסתרת הפעולה מאחורי ממשק משתמש תמים שנועד להפיג חשדות.
המתקפה בוצעה על ידי קבוצת UNC2428, שיוחסה גם לארגון Black Shadow הפועל בשליחות משרד המודיעין האיראני, ופגעה במגזרים שונים בישראל. בין היתר, דווח כי נעשה שימוש בכלים נוספים כמו POKYBLIGHT, JELLYBEAN ו-CANDYBOX במתקפות דומות.
בנוסף, תוקפים איראנים הפיצו גרסה מזויפת של תוכנת האבטחה GlobalProtect מבית פאלו אלטו, תוך החדרת דלת אחורית נוספת בשם CACTUSPAL. קבוצות תקיפה אחרות, בהן APT42 (המכונה גם Charming Kitten), נצפו מתחזות לדפי כניסה של מיקרוסופט, גוגל ויאהו במטרה לגנוב סיסמאות.
בסך הכול, במהלך 2024 זוהו מעל ל-20 משפחות נוזקות חדשות שפותחו או שופרו על ידי גופי תקיפה איראניים, תוך שימוש נרחב בתשתיות ענן ובטכניקות מתוחכמות שנועדו להסוות את הפעילות.
ב-Experis Cyber ממליצים לעדכן באופן סדיר את מערכות ההפעלה והתוכנות, להפעיל אימות דו-שלבי לחשבונות הארגוניים והאישיים, ולהיזהר מלחיצה על קישורים גם אם הם נראים כאילו התקבלו מגורמים מהימנים.
