Gli hacker iraniani sponsorizzati dallo stato hanno sviluppato un nuovo strumento in grado di scaricare le caselle di posta di Gmail, Yahoo e Outlook e viene utilizzato contro obiettivi sconosciuti di alto profilo. Questo secondo una nuova ricerca del Threat Investigation Group (TAG) di Google, che ha ottenuto una versione dello strumento e condotto un’analisi per determinare quanto sia dannoso.
Secondo l’articolo, la tecnologia in questione si chiama HYPERSCAPE ed è stata creata nel 2020 dal gruppo Charming Kitten sostenuto dal governo. Secondo Google, lo strumento opera sull’endpoint dell’attaccante, il che elimina la necessità che le vittime vengano indotte a installare malware. Tuttavia, le credenziali del loro account vengono violate o i cookie di sessione vengono presi affinché l’attaccante entri nel loro account.
Google ha spiegato come funziona il programma
Dopodiché, il malware ingannerà il provider di posta elettronica facendogli credere che venga visualizzato tramite un vecchio browser e si convertirà nel semplice display HTML.
Successivamente, convertirà la lingua della posta in arrivo in inglese, inizierà ad aprire le e-mail una per una e le scaricherà nel formato.eml. Anche le comunicazioni e-mail contrassegnate come non lette prima dell’attacco verranno classificate come non lette dopo l’attacco. Quando quella fase è completata, rimuoverà tutte le e-mail di avviso, riporterà la lingua alla sua condizione originale e svanirà.
Apparentemente, il programma è stato utilizzato solo contro poche dozzine di account, tutti basati in Iran. Google afferma di averli contattati tutti tramite il suo servizio di avvisi per gli aggressori supportati dal governo. TAG ha affermato che lo strumento è stato creato in.NET per PC Windows e che è stato testato utilizzando Gmail, “ma la funzionalità potrebbe differire per gli account Yahoo! e Microsoft”.
Nelle versioni precedenti di HYPERSCAPE, gli attori delle minacce potevano anche richiedere dati tramite Google Takeout, un servizio che consente agli utenti di esportare i propri dati in un file di archivio scaricabile. Tuttavia, la funzione non sembra essere accessibile nella versione più recente.
