×
Outbyte PC Repair
Outbyte Driver Updater

Hakerzy używają narzędzia, które pobiera skrzynki pocztowe Gmail, Yahoo i Microsoft Outlook

2022/08/24
Hakerzy używają narzędzia, które pobiera skrzynki pocztowe Gmail, Yahoo i Microsoft Outlook

Grupie Google Threat Intelligence Group (TAG) udało się uzyskać narzędzie, które może pobierać pełne skrzynki pocztowe popularnych platform, takich jak Gmail, Microsoft Outlook, Yahoo i inne. Narzędzie o nazwie HYPERSCAPE zostało z powodzeniem wykorzystane do namierzania nieznanych jeszcze celów.

Wydaje się, że sponsorowane przez państwo grupy trwałego zagrożenia wykorzystują HYPERSCAPE do przechwytywania wszystkich wiadomości e-mail gromadzących się w skrzynce pocztowej, a zespołowi badawczemu Google udało się uzyskać wersję tego narzędzia. Zespół przeprowadza obecnie symulacje, aby zobaczyć, jak niebezpieczne jest to.

Google twierdzi, że HYPERSCAPE może działać na punkcie końcowym atakującego. Innymi słowy, ofiary nie muszą być nakłaniane do pobrania jakiegokolwiek złośliwego oprogramowania, aby narzędzie mogło wykonać swoje zadanie. Atakujący potrzebują jednak dostępu do danych uwierzytelniających swoich ofiar lub plików cookie sesji. Atakujący muszą najpierw pomyślnie zalogować się na konta swoich ofiar, zanim będą mogli wdrożyć narzędzie.

Wygląda na to, że narzędzie nakłania docelową usługę e-mail do myślenia, że ​​jest uzyskiwana z przestarzałej przeglądarki. Aby zapewnić niezawodne działanie, usługa poczty e-mail przełącza się na podstawową reprezentację HTML. Ten widok jest ograniczony, ale zapewnia dostęp do poczty e-mail.

Gdy tylko narzędzie zmusi usługę poczty e-mail do przełączenia się na podstawową reprezentację HTML, zmieni język skrzynki odbiorczej na angielski. Następnie HYPERSCAPE zamienia się w narzędzie do czyszczenia. Rozpoczyna otwieranie wiadomości e-mail jeden po drugim i pobiera je do formatu. eml.

Aby uniknąć wykrycia, HYPERSCAPE oznacza jako takie wcześniej nieprzeczytane wiadomości e-mail. Po pomyślnym pobraniu wszystkich e-maili narzędzie usuwa wszystkie e-maile ostrzegawcze, resetuje język i znika.

Obecnie HYPERSCAPE wydaje się atakować konta znajdujące się w Iranie. Jest jednak całkiem możliwe, że inne grupy zagrożeń mogą nabyć to narzędzie.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *