İran devlet destekli bilgisayar korsanları, Gmail, Yahoo ve Outlook gelen kutularını indirebilen yeni bir araç geliştirdi ve bunu bilinmeyen yüksek profilli hedeflere karşı kullanıyor.
Bu, aracın bir sürümünü edinmeyi ve ne kadar tehlikeli olduğunu görmek için bir analiz gerçekleştirmeyi başaran Google’ın Tehdit Analizi Grubu’nun (TAG) yeni bir raporuna göre.
Rapora göre, söz konusu araca HYPERSCAPE deniyor ve 2020 yılında Charming Kitten olarak bilinen hükümet destekli grup tarafından inşa edildi.
Büyüleyici yavru kedi saldırıları
Google’a göre, araç saldırganın uç noktasında çalışıyor, bu da kurbanların herhangi bir kötü amaçlı yazılım indirmesi için kandırılmasına gerek olmadığı anlamına geliyor. Ancak, saldırganın önce hesabına giriş yapması gerektiğinden, hesap kimlik bilgilerinin ele geçirilmesi veya oturum çerezlerinin çalınması gerekir.
Bu adıma ulaşıldığında, araç, e-posta hizmetini, eski bir tarayıcı aracılığıyla erişildiğini düşünmesi için kandıracak ve temel HTML görünümüne geçecektir.
Bundan sonra gelen kutusunun dilini İngilizce olarak değiştirecek, e-postaları tek tek açmaya başlayacak ve .eml formatında indirecektir. Saldırıdan önce okunmamış olarak işaretlenen e-posta mesajları, daha sonra da okunmamış olarak işaretlenecektir. Bu aşama tamamlandığında, tüm uyarı e-postalarını silecek, dili orijinal durumuna geri döndürecek ve kaybolacaktır.
Görünüşe göre araç şimdiye kadar tamamı İran’da bulunan iki düzineden fazla hesapta kullanılmadı. Google, Devlet Destekli Saldırgan Uyarıları aracılığıyla hepsini bilgilendirdiğini söylüyor. TAG, aracın Windows PC’ler için .NET’te yazıldığını ve Gmail ile test edildiğini belirterek, “Her ne kadar işlevsellik Yahoo! ve Microsoft hesapları”.
HYPERSCAPE’in önceki sürümleri, tehdit aktörlerinin, kullanıcıların verilerini indirilebilir bir arşiv dosyasına aktarmasına olanak tanıyan bir özellik olan Google Takeout’tan veri talep etmesine de izin verdi. Bununla birlikte, özellik en son sürümde mevcut görünmüyor.