Na terça-feira, o ativista iraniano Nariman Gharib, baseado no Reino Unido, tuitou capturas de tela editadas de um link de phishing enviado a ele por meio de uma mensagem do WhatsApp.
“Não clique em links suspeitos”, alertou Gharib. O ativista, que acompanha de longe o lado digital dos protestos iranianos, disse que a campanha tinha como alvo pessoas envolvidas em atividades relacionadas ao Irã, como ele próprio.
Esta campanha de hackers surge num momento em que o Irão enfrenta o mais longo encerramento nacional da Internet da sua história, enquanto protestos antigovernamentais – e repressões violentas – se espalham por todo o país. Dado que o Irão e os seus adversários mais próximos são altamente activos no ciberespaço ofensivo (leia-se: hackear pessoas), queríamos saber mais.
Gharib compartilhou o link completo de phishing com o TechCrunch logo após sua postagem, permitindo-nos capturar uma cópia do código-fonte da página de phishing usada no ataque. Ele também compartilhou um resumo de suas descobertas.
O TechCrunch analisou o código-fonte da página de phishing e, com informações adicionais de pesquisadores de segurança, acreditamos que a campanha tinha como objetivo roubar o Gmail e outras credenciais online, comprometer contas do WhatsApp e realizar vigilância roubando dados de localização, fotos e gravações de áudio.
Não está claro, no entanto, se os hackers eram agentes ligados ao governo, espiões ou cibercriminosos – ou todos os três.
O TechCrunch também identificou uma maneira de visualizar uma cópia em tempo real de todas as respostas das vítimas salvas no servidor do invasor, que ficou exposto e acessível sem senha. Esses dados revelaram dezenas de vítimas que inseriram involuntariamente suas credenciais no site de phishing e provavelmente foram hackeadas.
A lista inclui um acadêmico do Oriente Médio que trabalha em estudos de segurança nacional; o chefe de uma fabricante israelense de drones; um ministro libanês sênior; pelo menos um jornalista; e pessoas nos Estados Unidos ou com números de telefone dos EUA.
O TechCrunch publica nossas descobertas após validar grande parte do relatório de Gharib. O site de phishing está fora do ar.
Dentro da cadeia de ataque
Segundo Gharib, a mensagem de WhatsApp que recebeu continha um link suspeito, que carregava um site de phishing no navegador da vítima.
Créditos da imagem:Nariman Gharib
O link mostra que os invasores confiaram em um provedor de DNS dinâmico chamado DuckDNS para sua campanha de phishing. Os provedores de DNS dinâmico permitem que as pessoas conectem endereços da web fáceis de lembrar – neste caso, um subdomínio duckdns.org – a um servidor onde seu endereço IP pode mudar frequentemente.
Não está claro se os invasores fecharam o site de phishing por conta própria ou foram capturados e cortados pelo DuckDNS. Entramos em contato com o DuckDNS para fazer perguntas, mas seu proprietário, Richard Harper, solicitou que enviássemos uma denúncia de abuso.
Pelo que entendemos, os invasores usaram o DuckDNS para mascarar a localização real da página de phishing, provavelmente para fazer com que parecesse um link genuíno do WhatsApp.
Na verdade, a página de phishing estava hospedada em alex-fabow.online, um domínio que foi registrado pela primeira vez no início de novembro de 2025. Este domínio tem vários outros domínios relacionados hospedados no mesmo servidor dedicado, e esses nomes de domínio seguem um padrão que sugere que a campanha também teve como alvo outros provedores de salas de reuniões virtuais, como meet-safe.online e whats-login.online.
Não temos certeza do que acontece enquanto o link DuckDNS é carregado no navegador da vítima ou como o link determina qual página de phishing específica carregar. Pode ser que o link DuckDNS redirecione o alvo para uma página de phishing específica com base nas informações coletadas do dispositivo do usuário.
A página de phishing não carregava em nosso navegador, impedindo-nos de interagir diretamente com ela. A leitura do código-fonte da página, porém, permitiu entender melhor como funcionou o ataque.
Credencial do Gmail e phishing de número de telefone
Dependendo do alvo, clicar em um link de phishing abriria uma página falsa de login do Gmail ou solicitaria seu número de telefone e iniciaria um fluxo de ataque com o objetivo de roubar sua senha e código de autenticação de dois fatores.
Mas o código-fonte da página de phishing tinha pelo menos uma falha: o TechCrunch descobriu que, ao modificar o URL da página de phishing em nosso navegador, poderíamos visualizar um arquivo nos servidores do invasor que armazenava registros de todas as vítimas que inseriram suas credenciais.
O arquivo continha mais de 850 registros de informações enviadas pelas vítimas durante o fluxo do ataque. Esses registros detalhavam cada parte do fluxo de phishing em que a vítima estava. Isso incluía cópias dos nomes de usuário e senhas que as vítimas inseriram na página de phishing, bem como entradas incorretas e seus códigos de dois fatores, servindo efetivamente como um keylogger.
Os registros também continham o user-agent de cada vítima, uma sequência de texto que identifica o sistema operacional e as versões do navegador usadas para visualizar sites. Esses dados mostram que a campanha foi projetada para atingir usuários de Windows, macOS, iPhone e Android.
O arquivo exposto nos permitiu acompanhar passo a passo o fluxo de ataque de cada vítima. Em um caso, o arquivo exposto mostra uma vítima clicando em um link malicioso, que abriu uma página que parecia uma janela de login do Gmail. O log mostra a vítima digitando suas credenciais de e-mail várias vezes até inserir a senha correta.
Os registros mostram a mesma vítima inserindo o código de autenticação de dois fatores enviado a ela por mensagem de texto. Podemos dizer isso porque o Google envia códigos de dois fatores em um formato específico (geralmente G-xxxxxx, apresentando um código numérico de seis dígitos).
Sequestro de WhatsApp e exfiltração de dados do navegador
Além do roubo de credenciais, esta campanha também parecia permitir a vigilância, enganando as vítimas para que compartilhassem sua localização, áudio e fotos de seus dispositivos.
No caso de Gharib, tocar no link da mensagem de phishing abriu uma página falsa com o tema WhatsApp em seu navegador, que exibia um código QR. A isca visa enganar o alvo para que ele escaneie o código em seu dispositivo, supostamente para acessar uma sala de reuniões virtual.
Créditos da imagem:TechCrunch
Gharib disse que o código QR foi gerado pelo invasor e que escaneá-lo ou tocá-lo vincularia instantaneamente a conta do WhatsApp da vítima a um dispositivo controlado pelo invasor, concedendo-lhe acesso aos dados da vítima. Esta é uma técnica de ataque conhecida há muito tempo que abusa do recurso de vinculação de dispositivos WhatsApp e tem sido usada de forma semelhante para atingir usuários do aplicativo de mensagens Signal.
Pedimos à fundadora da Granitt, Runa Sandvik, uma pesquisadora de segurança que trabalha para ajudar a proteger indivíduos em risco, que examinasse uma cópia do código da página de phishing e visse como ela funciona.
A Sandvik descobriu que, quando a página fosse carregada, o código acionaria uma notificação no navegador solicitando permissão ao usuário para acessar sua localização (via navigator.geolocation), bem como fotos e áudio (navigator.getUserMedia).
Se aceito, o navegador enviaria imediatamente ao invasor as coordenadas da pessoa, capazes de identificar a localização da vítima. A página continuaria então a compartilhar os dados de localização da vítima a cada poucos segundos, enquanto a página permanecesse aberta.
O código também permitiu que os invasores gravassem sequências de áudio e tirassem fotos a cada três a cinco segundos usando a câmera do dispositivo. No entanto, não vimos nenhum dado de localização, áudio ou imagem coletado no servidor.
Reflexões sobre as vítimas, momento e atribuição
Não sabemos quem está por trás desta campanha. O que está claro é que a campanha teve sucesso no roubo de credenciais das vítimas e é possível que a campanha de phishing possa ressurgir.
Apesar de conhecermos as identidades de algumas das pessoas deste grupo de vítimas que foram visadas, não temos informações suficientes para compreender a natureza da campanha. O número de vítimas hackeadas por esta campanha (que tenhamos conhecimento) é bastante baixo – menos de 50 indivíduos – e afecta tanto pessoas aparentemente comuns em toda a comunidade curda, como também académicos, funcionários do governo, líderes empresariais e outras figuras importantes em toda a diáspora iraniana e no Médio Oriente.
Pode ser que haja muito mais vítimas do que temos conhecimento, o que poderia ajudar-nos a compreender quem foi o alvo e, potencialmente, porquê.
O caso de que este poderia ser um ator apoiado pelo governo
Não está claro o que motivou os hackers a roubarem as credenciais das pessoas e sequestrarem suas contas do WhatsApp, o que também poderia ajudar a identificar quem está por trás dessa campanha de hackers.
Um grupo apoiado pelo governo, por exemplo, pode querer roubar a senha do e-mail e os códigos de dois fatores de um alvo de alto valor, como um político ou jornalista, para poder baixar informações privadas e confidenciais.
Isto poderia fazer sentido, uma vez que o Irão está actualmente quase totalmente isolado do mundo exterior e a obtenção de informações dentro ou fora do país representa um desafio. Tanto o governo iraniano, como um governo estrangeiro com interesses nos assuntos do Irão, poderiam querer saber com quem indivíduos influentes ligados ao Irão estão a comunicar, e sobre o quê.
Como tal, o momento desta campanha de phishing e quem parece visar podem apontar para uma campanha de espionagem destinada a tentar recolher informações sobre uma lista restrita de pessoas.
Pedimos a Gary Miller, pesquisador de segurança do Citizen Lab e especialista em espionagem móvel, que também revisasse o código de phishing e alguns dos dados expostos do servidor do invasor.
Miller disse que o ataque “certamente (tinha) as características de uma campanha de spearphishing ligada ao IRGC”, referindo-se a hacks de e-mail altamente direcionados realizados pelo Corpo da Guarda Revolucionária Islâmica do Irã (IRGC), uma facção do exército iraniano conhecida por realizar ataques cibernéticos. Miller apontou uma combinação de indicações, incluindo o alcance internacional da segmentação de vítimas, roubo de credenciais, abuso de plataformas de mensagens populares como o WhatsApp e técnicas de engenharia social usadas no link de phishing.
O caso de que este pode ser um ator motivado financeiramente
Por outro lado, um hacker com motivação financeira poderia usar a mesma senha roubada do Gmail e o código de dois fatores de outro alvo de alto valor, como um executivo de uma empresa, para roubar informações comerciais confidenciais e proprietárias de sua caixa de entrada. O hacker também pode redefinir à força as senhas das criptomoedas e das contas bancárias das vítimas para esvaziar suas carteiras.
O foco da campanha no acesso à localização e à mídia do dispositivo da vítima, no entanto, é incomum para um ator com motivação financeira, que pode ter pouca utilidade para fotos e gravações de áudio.
Pedimos a Ian Campbell, pesquisador de ameaças da DomainTools, que ajuda a analisar registros públicos da Internet, que analisasse os nomes de domínio usados na campanha para ajudar a entender quando foram configurados pela primeira vez e se esses domínios estavam conectados a qualquer outra infraestrutura previamente conhecida ou identificada.
Campbell descobriu que, embora a campanha tivesse como alvo as vítimas no meio dos protestos nacionais em curso no Irão, a sua infra-estrutura tinha sido criada semanas atrás. Ele acrescentou que a maioria dos domínios ligados a esta campanha foram registados no início de Novembro de 2025, e um domínio relacionado foi criado meses atrás, em Agosto de 2025. Campbell descreveu os domínios como de risco médio a alto e disse que parecem estar ligados a uma operação de crime cibernético impulsionada por motivações financeiras.
Um problema adicional é que o governo do Irão é conhecido por subcontratar ataques cibernéticos a grupos criminosos de hackers, presumivelmente para proteger o seu envolvimento em operações de hackers contra os seus cidadãos. O Tesouro dos EUA já sancionou empresas iranianas no passado por atuarem como frentes do IRGC do Irão e por conduzirem ataques cibernéticos, como o lançamento de ataques direcionados de phishing e de engenharia social.
Como observa Miller: “Isso deixa claro que clicar em links não solicitados do WhatsApp, por mais convincentes que sejam, é uma prática insegura e de alto risco”.
Para entrar em contato com este repórter com segurança, você pode entrar em contato usando o Signal através do nome de usuário: zackwhittaker.1337
Lorenzo Franceschi-Bicchierai contribuiu com reportagem.
