L’acteur soutenu par le gouvernement iranien connu sous le nom de Charming Kitten a ajout\u00e9 un nouvel outil \u00e0 son arsenal de logiciels malveillants qui lui permet de r\u00e9cup\u00e9rer les donn\u00e9es des utilisateurs \u00e0 partir des comptes Gmail, Yahoo ! et Microsoft Outlook.<\/p>\n
Doubl\u00e9 HYPERGRATTE<\/strong> par Google Threat Analysis Group (TAG), le logiciel malveillant en cours de d\u00e9veloppement aurait \u00e9t\u00e9 utilis\u00e9 contre moins de deux douzaines de comptes en Iran, le plus ancien \u00e9chantillon connu remontant \u00e0 2020. L’outil a \u00e9t\u00e9 d\u00e9couvert pour la premi\u00e8re fois en d\u00e9cembre 2021.<\/p>\n Charming Kitten, une menace persistante avanc\u00e9e (APT) prolifique, serait associ\u00e9e au Corps des gardiens de la r\u00e9volution islamique (CGRI) iranien et a une histoire d’espionnage align\u00e9e sur les int\u00e9r\u00eats du gouvernement.<\/p>\n Traqu\u00e9s sous les noms d’APT35, Cobalt Illusion, ITG18, Phosphorus, TA453 et Yellow Garuda, des \u00e9l\u00e9ments du groupe ont \u00e9galement men\u00e9 des attaques de ran\u00e7ongiciels, sugg\u00e9rant que les motivations de l’acteur mena\u00e7ant sont \u00e0 la fois l’espionnage et l’argent.<\/p>\n \u00ab\u00a0HYPERSCRAPE n\u00e9cessite les informations d’identification du compte de la victime pour s’ex\u00e9cuter \u00e0 l’aide d’une session utilisateur valide et authentifi\u00e9e que l’attaquant a pirat\u00e9e, ou des informations d’identification que l’attaquant a d\u00e9j\u00e0 acquises\u00a0\u00bb, Ajax Bash, chercheur chez Google TAG. a dit<\/a>.<\/p>\n \u00c9crit en .NET et con\u00e7u pour fonctionner sur la machine Windows de l’attaquant, l’outil est livr\u00e9 avec des fonctions pour t\u00e9l\u00e9charger et exfiltrer le contenu de la bo\u00eete de r\u00e9ception d’une victime, en plus de supprimer les e-mails de s\u00e9curit\u00e9 envoy\u00e9s par Google pour alerter la cible de toute connexion suspecte.<\/p>\n Si un message n’est pas lu \u00e0 l’origine, l’outil le marque comme non lu apr\u00e8s avoir ouvert et t\u00e9l\u00e9charg\u00e9 l’e-mail en tant que fichier “.eml”. De plus, les versions ant\u00e9rieures d’HYPERSCRAPE auraient inclus une option permettant de demander des donn\u00e9es \u00e0 Google Takeout<\/a>une fonctionnalit\u00e9 qui permet aux utilisateurs d’exporter leurs donn\u00e9es vers un fichier d’archive t\u00e9l\u00e9chargeable.<\/p>\n Les r\u00e9sultats font suite \u00e0 la d\u00e9couverte r\u00e9cente d’un logiciel bas\u00e9 sur C++ Outil “saisie” de t\u00e9l\u00e9gramme<\/a> par PwC utilis\u00e9 contre des cibles nationales pour obtenir l’acc\u00e8s aux messages Telegram et aux contacts de comptes sp\u00e9cifiques.<\/p>\n Auparavant, le groupe avait \u00e9t\u00e9 aper\u00e7u en train de d\u00e9ployer un logiciel de surveillance Android personnalis\u00e9 appel\u00e9 LittleLooter<\/a>un implant riche en fonctionnalit\u00e9s capable de collecter des informations sensibles stock\u00e9es dans les appareils compromis ainsi que d’enregistrer de l’audio, de la vid\u00e9o et des appels.<\/p>\n “Comme la plupart de leurs outils, HYPERSCRAPE ne se distingue pas par sa sophistication technique, mais plut\u00f4t par son efficacit\u00e9 dans la r\u00e9alisation des objectifs de Charming Kitten”, a d\u00e9clar\u00e9 Bash. Les comptes concern\u00e9s ont depuis \u00e9t\u00e9 s\u00e9curis\u00e9s \u00e0 nouveau et les victimes pr\u00e9venues.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-decouvre-un-outil-utilise-par-les-pirates-iraniens-pour.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\")
<\/a><\/div>\n