Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Phishing su iMessage e WhatsApp: Bitter prende di mira giornalisti MENA con falsi login Apple e Google OAuth
Una campagna hack for hire collegata al cluster Bitter ha preso di mira giornalisti, attivisti e funzionari tra Medio Oriente e Nord Africa, con un focus marcato su account Apple e Google e su tecniche di phishing mirato. Le attività osservate tra il 2023 e il 2025 mostrano un approccio persistente basato su social engineering e su canali di messaggistica molto usati, come iMessage e WhatsApp, con esche che imitano procedure di verifica e supporto tecnico.
Nel caso di due giornalisti egiziani noti per le loro posizioni critiche, gli attaccanti hanno tentato di ottenere credenziali e codici 2FA tramite pagine di login false e flussi ingannevoli. Un elemento rilevante è l’uso di spear phishing costruito su contatti iniziali credibili, ad esempio tramite LinkedIn con profili fittizi che propongono opportunità di lavoro. Dopo aver ottenuto numero di telefono ed email, la catena prosegue con inviti a videochiamate e link abbreviati che portano a risorse malevole.
Una tecnica particolarmente insidiosa emersa è il consent based phishing che sfrutta Google OAuth 2.0. Invece di limitarsi a clonare una pagina di accesso, l’aggressore induce la vittima a concedere permessi a una applicazione controllata dall’attaccante, sfruttando interfacce e flussi legittimi che riducono i sospetti. Se l’utente non è autenticato, viene spinto a inserire username e password. Se è già autenticato, viene invitato ad approvare l’accesso tramite una richiesta di consenso.
La campagna ha impiegato numerosi domini progettati per sembrare servizi affidabili, includendo riferimenti ad Apple, FaceTime, Signal e Telegram, spesso con strutture del tipo com-en o com-ae. Questa infrastruttura risulta sovrapposta a precedenti operazioni che distribuivano spyware Android, con l’utilizzo di siti ingannevoli e falsi plugin di cifratura. Alcuni lure sono stati associati a famiglie di spyware capaci di esfiltrare contatti, SMS, metadati del dispositivo e file locali.
In almeno un caso, un account Apple è stato effettivamente compromesso, con l’aggiunta di un dispositivo virtuale per mantenere accesso persistente ai dati. Anche quando il phishing non installa direttamente malware, l’obiettivo resta la sorveglianza: accesso a comunicazioni, rubrica, backup cloud e informazioni personali, utili per monitoraggio e ulteriori attacchi.