Шпионская кампания нацелена на данные персональных устройств жертв, учетные данные браузера и файлы приложения для обмена сообщениями Telegram. Одним из примечательных инструментов в арсенале группировки является вредоносная программа для Android, способная собирать все коды безопасности для двухфакторной аутентификацией (2FA), отправленные на устройства, похищать учетные данные Telegram и запускать фишинговые атаки на учетные записи Google.
Как сообщили эксперты, Rampant Kitten на протяжении как минимум шести лет атаковала иранские организации и осуществляла слежку за ними. Жертвами стали иранские участники сопротивления и организации, выступающие против правительственного режима, включая Ассоциацию семей лагеря Ашраф и жителей Свободы (AFALR), а также Азербайджанскую национальную организацию сопротивления.
Преступники использовали широкий спектр инструментов для проведения своих атак, в том числе четыре варианта инфостилеров для кражи файлов из приложений Telegram и KeePass; фишинговые страницы для кражи учетных данных Telegram и Android-бэкдор, похищающий 2FA-коды из SMS-сообщений и осуществляющий аудиозапись окружения телефона.
Исследователи впервые обнаружили кампанию Rampant Kitten через документ, название которого переводится как «Режим боится распространения революционных пушек». При открытии документа загружается шаблон документа с удаленного сервера (afalr-sharepoint [.] Com), который имитирует web-сайт некоммерческой организации, помогающей иранским диссидентам. Затем он загружает вредоносный код макроса, выполняющий пакетный сценарий для загрузки и выполнения полезной нагрузки следующего этапа. Данная полезная нагрузка проверяет, установлено ли приложение Telegram на системе жертвы. Если это так, она извлекает три исполняемых файла для хищения конфиденциальных данных.
В ходе расследования исследователи обнаружили вредоносное приложение для Android. Приложение предназначалось для помощи говорящим на персидском языке в Швеции в получении водительских прав. Как только жертва загружает приложение, бэкдор крадет SMS-сообщения и обходит 2FA, пересылая все SMS-сообщения, начинающееся с префикса G- (префикс кодов двухфакторной аутентификации Google) на номер телефона, контролируемый злоумышленником.