Les pirates iraniens ont attaqué plus de 60 universités internationales pour accéder à la bibliothèque. Ainsi le groupe Cobalt Dickens, lié au gouvernement iranien, a mené ces opérations de phishing en juillet et août pour cibler plus de 60 universités de pays répartis sur quatre continents.

Selon des chercheurs en sécurité, les activités de piraterie du groupe lié au gouvernement iranien ont touché au moins 380 universités dans plus de 30 pays et de nombreuses cibles ont été attaquées à plusieurs reprises.

La dernière campagne de phishing visait des établissements en Australie, à Hong Kong, aux États-Unis, au Canada, au Royaume-Uni et en Suisse. Les pirates iraniens ont utilisé au moins 20 nouveaux noms de domaine enregistrés à l’aide du service Freenom.

Le faux courrier électronique envoyé par le groupe Cobalt Dickens aux personnes ayant accès à la bibliothèque de l’université cible montre un message demandant de réactiver le compte en suivant un lien trompeur.

Les chercheurs disent que suivre un faux lien mène à une page Web qui semble identique ou similaire à la ressource de la bibliothèque de phishing. Une fois fournies, les données de connexion sont stockées dans un fichier appelé pass.txt, et le navigateur Web charge le site de l’université d’origine.

Afin de dissiper toute suspicion d’activité frauduleuse, les pirates informatiques utilisent souvent des certificats TLS valides pour leurs sites Web. La plupart des certificats observés lors de cette campagne semblent être gratuits et ont été délivrés par l’autorité de certification à but non lucratif (Let’s Encrypt).

Source : aitnews