Иранские хакеры используют старый трюк с браузером, чтобы незаметно украсть данные пользователей Google Gmail

Успешный взлом включает в себя больше, чем просто получение несанкционированного доступа к системе. Оказавшись внутри, злоумышленники любят заметать следы не только для того, чтобы их не поймали, но и для того, чтобы максимально увеличить объем данных, которые они могут извлечь. С этой целью поддерживаемая Ираном хакерская группа, известная как Charming Kitten, была обнаружена с помощью простого, но эффективного средства уклонения от обнаружения.

«Очаровательный котенок» известен тем, что преследует людей, которые не в ладах с иранским режимом. Одна из его тактик заключалась в использовании инструмента под названием HYPERSCRAPE для кражи данных из учетных записей электронной почты жертвы . HYPERSCRAPE — не путать с Hyper Scape от Ubisoft. — был впервые обнаружен в 2021 году Группой анализа угроз Google (TAG), а доказательства его использования датируются 2020 годом. Теперь TAG опубликовала подробную информацию о том, как работает этот инструмент.

HYPERSCRAPE — это относительно простое приложение .NET, которое действует как дополнительный инструмент после взлома учетной записи пользователя. Злоумышленникам необходимо либо получить учетные данные жертвы другими способами, либо сначала захватить аутентифицированный сеанс. Затем HYPERSCRAPE используется для загрузки содержимого почтового ящика без каких-либо признаков для жертвы, что что-то не так. Он использовался против учетных записей Gmail, Yahoo! и Outlook, но в статье подробно описан только его метод против Gmail.

HYPERSCRAPE сначала заставляет Gmail отображать базовое HTML-представление вместо использования нового расширенного интерфейса. Это достигается путем настройки своего пользовательского агента для отображения в качестве устаревшего браузера. Представление HTML позволяет инструменту напрямую анализировать электронные письма. После входа в систему HYPERSCRAPE временно меняет язык почтового ящика на английский.

HTML-просмотр окна браузера Hyperscrape
TAG демонстрирует HYPERSCRAPE в действии на тестовом аккаунте

Затем инструмент загружает каждое электронное письмо в учетной записи одно за другим. Если электронное письмо ранее было непрочитанным, инструмент позаботится о том, чтобы пометить его как непрочитанное после загрузки. После завершения инструмент отменяет измененные настройки и удаляет все уведомления о безопасности от Google, оставляя жертву в неведении. Учетные записи могут оставаться скомпрометированными на неопределенный срок для дальнейшего наблюдения.

TAG сообщает, что HYPERSCRAPE был эффективно развернут против менее чем двух десятков учетных записей в Иране из-за очень избирательного нацеливания Charming Kitten. Тем не менее, перспектива полной и в значительной степени автоматизированной информационной свалки вызывает большие опасения. Другие стороны могут использовать аналогичную тактику для шпионажа, вымогательства, подавления или еще хуже в более широком масштабе. Это также показывает, как модернизировалась оборона можно эффективно обойти, пока существуют устаревшие функции.

TAG Google не раскрывает никаких конкретных мер, предпринятых для предотвращения работы этой атаки в будущем. Представление HTML по-прежнему является важной резервной функцией для многих пользователей по всему миру. Вместо этого TAG рекомендует пользователям с высоким уровнем риска, которые могут стать целью такой атаки, использовать программу расширенной защиты Google и расширенный безопасный просмотр на уровне учетной записи , чтобы повысить свою защитную позицию.

Top Image Credit — Ашутош Сонвани на Pexels

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал