Η ιρανική ομάδα hacking Charming Kitten που χρηματοδοτείται από το κράτος χρησιμοποιεί ένα νέο εργαλείο για τη λήψη μηνυμάτων email από στοχευμένους λογαριασμούς Gmail, Yahoo και Microsoft Outlook.

Το όνομα του βοηθητικού προγράμματος είναι Hyperscraper και, όπως πολλά από τα εργαλεία και τις λειτουργίες του ηθοποιού απειλών, δεν είναι καθόλου περίπλοκο.

Αλλά η έλλειψη τεχνικής πολυπλοκότητάς του εξισορροπείται από την αποτελεσματικότητα, επιτρέποντας στους χάκερ να κλέψουν τα εισερχόμενα ενός θύματος χωρίς να αφήνουν πολλές υποδείξεις για την εισβολή.

Απλό αλλά αποτελεσματικό scraper email

Σε μια τεχνική έκθεση σήμερα, ερευνητές από την ομάδα ανάλυσης απειλών (TAG) της Google μοιράζονται λεπτομέρειες σχετικά με τη λειτουργικότητα του Hyperscraper και λένε ότι βρίσκεται υπό ενεργό ανάπτυξη.

Το Google TAG αποδίδει το εργαλείο στο Charming Kitten, μια ομάδα που υποστηρίζεται από το Ιράν που είναι επίσης γνωστή ως APT35 και Phosphorus, και λέει ότι το πρώτο δείγμα που βρήκαν χρονολογείται από το 2020.

Οι ερευνητές βρήκαν το Hyperscraper τον Δεκέμβριο του 2021 και το ανέλυσαν χρησιμοποιώντας έναν δοκιμαστικό λογαριασμό Gmail . Δεν είναι εργαλείο hacking, αλλά ένα όργανο που βοηθά τον εισβολέα να κλέψει δεδομένα email και να τα αποθηκεύσει στον υπολογιστή του αφού συνδεθεί στον λογαριασμό email του θύματος.

Η λήψη των διαπιστευτηρίων (όνομα χρήστη και κωδικός πρόσβασης, cookie ελέγχου ταυτότητας) για τα εισερχόμενα προορισμού γίνεται σε προηγούμενο βήμα της επίθεσης, συνήθως με την κλοπή τους.

Το Hyperscraper έχει ένα ενσωματωμένο πρόγραμμα περιήγησης και πλαστογραφεί τον παράγοντα χρήστη για να μιμηθεί ένα ξεπερασμένο πρόγραμμα περιήγησης ιστού, το οποίο παρέχει μια βασική προβολή HTML του περιεχομένου του λογαριασμού Gmail.

“Μόλις συνδεθεί, το εργαλείο αλλάζει τις ρυθμίσεις γλώσσας του λογαριασμού στα Αγγλικά και επαναλαμβάνει τα περιεχόμενα του γραμματοκιβωτίου, κατεβάζοντας μεμονωμένα μηνύματα ως αρχεία .eml και επισημαίνοντάς τα ως μη αναγνωσμένα” – Google TAG

Όταν ολοκληρωθεί η εξαγωγή, το Hyperscraper αλλάζει τη γλώσσα στην αρχική ρύθμιση και διαγραφή των ειδοποιήσεων ασφαλείας από την Google για ένα ελάχιστο αποτύπωμα.

Οι ερευνητές του Google TAG λένε ότι παλαιότερες παραλλαγές του βοηθητικού προγράμματος Charming Kitten’s θα μπορούσαν να ζητήσουν δεδομένα από το Google Takeout, μια υπηρεσία που επιτρέπει στους χρήστες να εξάγουν δεδομένα από τον λογαριασμό τους Google για να τα δημιουργήσουν αντίγραφα ασφαλείας ή να τα χρησιμοποιήσουν με μια υπηρεσία τρίτου μέρους.