hackers miram itália e espanha no covid-19

Hackers iranianos usam nova ferramenta para roubar e-mails

Grupo de hackers está usando uma nova ferramenta para baixar mensagens de e-mail de contas do Gmail, Yahoo e Microsoft Outlook, segundo o Google TAG
Da Redação
23/08/2022

O grupo de hackers Charming Kitten, patrocinado pelo Irã, está usando uma nova ferramenta para baixar mensagens de e-mail de contas do Gmail, Yahoo e Microsoft Outlook. O nome do utilitário é Hyperscraper e, como muitas das ferramentas e operações do grupo, está longe de ser sofisticado. Mas sua falta de complexidade técnica é equilibrada pela eficácia, permitindo que os hackers roubem a caixa de entrada da vítima sem deixar muitos indícios da invasão.

Em um relatório técnico hoje, pesquisadores do Grupo de Análise de Ameaças (TAG, na sigla em inglês) do Google compartilham detalhes sobre a funcionalidade do Hyperscraper e dizem que ele está em desenvolvimento ativo. O Google TAG atribui propriedade da ferramenta ao Charming Kitten, que também é conhecido como APT35 e Phosphorus, e diz que a primeira amostra encontrada data de 2020.

Os pesquisadores encontraram o Hyperscraper em dezembro de 2021 e o analisaram usando uma conta de teste do Gmail. Não é uma ferramenta de hacking, mas um instrumento que ajuda o invasor a roubar dados de e-mail e armazená-los em sua máquina após fazer login na conta de e-mail da vítima. A obtenção das credenciais — nome de usuário e senha, cookies de autenticação — para a caixa de entrada de destino é feita em uma etapa anterior do ataque, geralmente as roubando.

O Hyperscraper tem um navegador incorporado e falsifica o agente do usuário para imitar um navegador web desatualizado, que fornece uma visualização HTML básica do conteúdo da conta do Gmail. “Uma vez logada, a ferramenta altera as configurações de idioma da conta para inglês e se multiplica pelo conteúdo da caixa de correio, baixando individualmente as mensagens como arquivos .eml e marcando-as como não lidas. Quando a exfiltração é concluída, o Hyperscraper altera o idioma para a configuração original e exclui os alertas de segurança do Google para uma pegada mínima”, explicam os pesquisadores do Google TAG.

Eles dizem que variantes mais antigas do utilitário Charming Kitten podem solicitar dados do Google Takeout, um serviço que permite aos usuários exportar dados de sua conta do Google para fazer backup ou usá-lo com um serviço de terceiros. Durante a execução, o Hyperscraper se comunica com um servidor de comando e controle (C&C) aguardando confirmação para iniciar o processo de exfiltração.

Veja isso
Gmail aponta grupo russo por ataque a 14 mil usuários
Trojan bancário Qbot agora sequestra ‘threads’ de e-mail do Outlook

O operador pode configurar a ferramenta com os parâmetros necessários (modo de operação, caminho para um arquivo de cookie válido e string identificadora) usando argumentos de linha de comando ou por meio de uma interface de usuário mínima. Se o caminho para o arquivo de cookie não tiver sido fornecido pela linha de comando, o operador poderá arrastá-lo e soltá-lo em um novo formulário. Uma vez que o cookie foi analisado com sucesso e adicionado ao cache local do navegador web, o Hyperscraper cria uma pasta “download” onde despeja o conteúdo da caixa de entrada de destino. Os pesquisadores observam que, se o cookie não fornecer acesso à conta, o operador da ameaça poderá fazer login manualmente.

O Hyperscraper salva todos os e-mails localmente, na máquina do operador, junto com os logs que mostram a contagem das mensagens roubadas e não envia ao servidor C&C outros dados além do status e informações do sistema. No final da tarefa, o Hyperscraper cobre seus rastros excluindo quaisquer e-mails do Google que possam alertar a vítima sobre a atividade do agente da ameaça (notificações de segurança, tentativas de login, acesso a aplicativos, disponibilidade de arquivo de dados).

O Google observou o Hyperscraper sendo usado em um pequeno número de contas, “menos de duas dúzias”, todas pertencentes a usuários no Irã. Os alvos do Charming Kitten onde o Hyperscraper foi usado foram notificados por meio de avisos sobre ataques apoiados pelo governo iraniano. Com sites e agências de notícias internacionais.

Compartilhar:

Últimas Notícias