U okviru sofisticirane kampanje sajber špijunaže, iranski hakeri su pokrenuli lažni veb-sajt koji se predstavlja kao legitimna njemačka modna agencija, s ciljem prikupljanja obavještajnih podataka i potencijalnog ciljanog napada na određene pojedince.
Ova operacija, otkrivena početkom maja 2025. godine, koristi napredne tehnike profilisanja posjetilaca kako bi selektivno identifikovala i kompromitovala mete od interesa, posebno one povezane sa iranskim disidentskim zajednicama.
Napadači su pažljivo klonirali veb-sajt agencije Mega Model Agency iz Hamburga, kopirajući njen vizuelni identitet, raspored i sadržaj kako bi stvorili uvjerljivu fasadu.
Ipak, ovaj lažni klon sadrži zamagljeni JavaScript kod koji se aktivira kada posjetilac otvori stranicu, prikupljajući detaljne informacije o potencijalnim metama – uključujući konfiguracije pretraživača, rezoluciju ekrana, IP adrese i jedinstvene otiske pretraživača (browser fingerprints).
Istraživači iz kompanije Palo Alto Networks identifikovali su da ova operacija vjerovatno potiče od iranske grupe sponzorisane od strane države, povezane sa grupom Agent Serpens, poznatom i kao APT35 ili Charming Kitten.
Ova grupa ima dokumentovanu istoriju ciljanja iranskih disidenata, novinara i aktivista koji žive u inostranstvu, posebno u Njemačkoj.
Lažni sajt Mega Model agencije
Kampanja predstavlja zabrinjavajuću evoluciju taktike socijalnog inženjeringa, pri čemu su napadači kreirali potpuno izmišljen profil modela po imenu “Shir Benzion” unutar lažnog sajta.
Taj profil zamjenjuje informacije stvarnog modela i uključuje trenutno neaktivni link ka „privatnom albumu“, što ukazuje na pripreme za ciljani fišing ili isporuku malvera.
Tehnička sofisticiranost ove operacije ogleda se u pažljivo zamagljenom JavaScript kodu koji se nalazi na lažnom sajtu.
Funkcionalnosti skrivenog JavaScript koda
Analizom je ustanovljeno da skripta istovremeno obavlja više funkcija prikupljanja podataka. Ona:
- ispituje jezike i dodatke u pretraživaču (plugins),
- prikuplja informacije o rezoluciji ekrana kako bi identifikovala okruženje posjetioca,
- koristi WebRTC kako bi otkrila i lokalnu i javnu IP adresu korisnika,
- primjenjuje canvas fingerprinting tehniku za generisanje jedinstvenog otiska uređaja pomoću SHA-256 heširanja.
// Pojednostavljena verzija tehnike otiska pomoću canvasa:
javascriptCopyEditfunction createCanvasFingerprint() {
const canvas = document.createElement('canvas');
const ctx = canvas.getContext('2d');
// Crtanje različitih elemenata kako bi se dobio jedinstveni otisak
ctx.textBaseline = "top";
ctx.font = "14px 'Arial'";
ctx.fillText("Fingerprint", 2, 2);
return sha256(canvas.toDataURL());
}
Prikupljeni podaci se organizuju kao JSON i šalju na lažni krajnji server maskiran kao servis za oglašavanje – /ads/track – čime se pokušava prikriti špijunska aktivnost unutar regularnog web saobraćaja.
Ovakav pristup odražava pažljivo planiranu strategiju izbjegavanja detekcije, dok se prikupljaju korisni podaci za moguće kasnije ciljanje žrtava.
Izvor: CyberSecurityNews