Irańscy hakerzy sponsorowani przez władze państwowe zbudowali nowe narzędzie zdolne do pobierania skrzynek pocztowych Gmail, Yahoo i Outlook i używają go przeciwko nieznanym, wysoko postawionym celom.
Tak wynika z nowego raportu Google’s Threat Analysis Group (TAG), której udało się zdobyć wersję narzędzia i przeprowadzić analizę, aby zobaczyć, jak bardzo jest ono niebezpieczne. Jak wynika z raportu, narzędzie, o którym mowa, nosi nazwę HYPERSCAPE i zostało zbudowane w 2020 roku przez wspieraną przez rząd grupę znaną jako Charming Kitten.
Według Google, narzędzie działa na punkcie końcowym atakującego, co oznacza, że ofiary nie muszą być podstępnie nakłaniane do pobrania jakiegokolwiek złośliwego oprogramowania. Muszą jednak mieć naruszone dane uwierzytelniające konto lub skradzione ciasteczka sesyjne, ponieważ atakujący musi najpierw zalogować się na ich konto. Gdy ten krok zostanie osiągnięty, narzędzie oszukuje usługę e-mail, myśląc, że jest ona dostępna za pośrednictwem przestarzałej przeglądarki i przełącza się na podstawowy widok HTML.
Następnie zmieni język skrzynki odbiorczej na angielski, zacznie otwierać maile jeden po drugim i pobierać je do formatu .eml. Wiadomości e-mail, które przed atakiem były oznaczone jako nieprzeczytane, po ataku również zostaną oznaczone jako nieprzeczytane. Po zakończeniu tego etapu usunie wszelkie maile ostrzegawcze, przywróci język do stanu pierwotnego i zniknie.
Podobno narzędzie zostało do tej pory użyte przeciwko nie więcej niż dwóm tuzinom kont, wszystkie zlokalizowane w Iranie. Google twierdzi, że powiadomił wszystkie z nich za pośrednictwem swoich ostrzeżeń o atakach wspieranych przez rząd. Narzędzie zostało napisane w .NET dla komputerów z systemem Windows, TAG dodał, mówiąc, że testował go z Gmail, “chociaż funkcjonalność może się różnić dla kont Yahoo! i Microsoft”. Wcześniejsze wersje HYPERSCAPE pozwalały również agentom cyberataków na żądanie danych z Google Takeout, funkcji umożliwiającej użytkownikom eksportowanie swoich danych do pliku archiwum do pobrania. Wydaje się jednak, że funkcja ta nie jest dostępna w najnowszej wersji.
