I ricercatori del Google Threat Analysis Group hanno scoperto una campagna di spionaggio messa in atto da Charming Kitten, un gruppo legato al governo iraniano. Utilizzando il tool HYPERSCRAPE, i cybercriminali possono accedere da remoto ai computer delle vittime e scaricare le email dagli account Gmail, Yahoo e Outlook, dopo aver ottenuto le credenziali di login. L’azienda di Mountain View adotta varie misure per proteggere gli utenti, ma è sempre consigliato l’uso di una soluzione di sicurezza.
HYPERSCRAPE: tool di spionaggio iraniano
HYPERSCRAPE viene utilizzato per copiare sui computer di Charming Kitten le email rubate dagli account. È quindi necessario ottenere le credenziali di login o i cookie di autenticazione con un attacco preliminare. Il tool, scritto in linguaggio .NET per Windows, integra un browser che permette la visualizzazione HTML in Gmail. Dopo aver ottenuto l’accesso all’account, HYPERSCRAPE cambia la lingua predefinita in inglese e scarica tutti i messaggi come file .eml, segnandoli come letti.
Al termine dell’operazione, il tool ripristina la lingua originaria e cancella ogni email di sicurezza inviata da Google. Una versione precedente consentiva anche di esportare i dati con Google Takeout. All’avvio HYPERSCRAPE si collega al server C2 e attende i comandi che possono essere inviati tramite testo o interfaccia grafica. Le email vengono copiate nella directory Download. Google ha informato gli utenti interessati, consigliando l’iscrizione al Programma di protezione avanzata e l’attivazione della funzionalità Enhanced Safe Browsing di Chrome.
Ti potrebbe interessare
24 ago 2022