Спонсируемая государством иранская хакерская группа Charming Kitten использует новый инструмент для загрузки сообщений электронной почты из целевых учетных записей Gmail, Yahoo и Microsoft Outlook.
Утилита называется Hyperscraper, и, как и многие инструменты и операции злоумышленников, она далека от изощренности.
Но его отсутствие технической сложности уравновешивается эффективностью, позволяя хакерам украсть почтовый ящик жертвы, не оставляя следов вторжения.
В сегодняшнем техническом отчете исследователи из Google Threat Analysis Group (TAG) делятся подробностями о функциональности Hyperscraper и говорят, что он находится в активной разработке.
Google TAG приписывает инструмент Charming Kitten, поддерживаемой Ираном группе, также известной как APT35 и Phosphorus, и говорит, что самый ранний найденный ими образец датируется 2020 годом.
Исследователи нашли Hyperscraper в декабре 2021 года и проанализировали его с помощью тестовой учетной записи Gmail. Это не хакерский инструмент, а инструмент, который помогает злоумышленнику украсть данные электронной почты и сохранить их на своем компьютере после входа в учетную запись электронной почты жертвы.
Получение учетных данных (имя пользователя и пароль, файлы cookie для проверки подлинности) для целевого почтового ящика выполняется на предыдущем этапе атаки, обычно путем их кражи.
Hyperscraper имеет встроенный браузер и имитирует пользовательский агент, чтобы имитировать устаревший веб-браузер, который обеспечивает базовое HTML-представление содержимого учетной записи Gmail.
«После входа в систему инструмент меняет языковые настройки учетной записи на английский и перебирает содержимое почтового ящика, загружая сообщения в виде файлов .eml и помечая их как непрочитанные», — Google TAG.
Когда эксфильтрация завершится, Hyperscraper изменит язык на исходную настройку и удалит предупреждения системы безопасности от Google для минимального воздействия.
Исследователи Google TAG говорят, что более старые варианты утилиты Charming Kitten могут запрашивать данные из Google Takeout, службы, которая позволяет пользователям экспортировать данные из своей учетной записи Google для их резервного копирования или использовать их со сторонней службой.
Во время работы Hyperscraper связывается с сервером управления и контроля (C2), ожидая подтверждения, чтобы начать процесс эксфильтрации.
Оператор может настроить инструмент с необходимыми параметрами (режим работы, путь к действительному файлу cookie, строку идентификатора) с помощью аргументов командной строки или через минимальный пользовательский интерфейс.