Tin tặc có thể tải toàn bộ hộp thư Gmail, Yahoo, Outlook bằng công cụ này

Google cho biết các tin tặc đang có một công cụ mới có thể giúp chúng tải email từ các hộp thư đến của Gmail, Yahoo, Outlook.

Theo TechRadar, các tin tặc được nhà nước Iran hậu thuẫn đã xây dựng một công cụ mới có khả năng tải email trong hộp thư đến của Gmail, Yahoo và Outlook và đang sử dụng nó để tấn công các mục tiêu cấp cao.

Thông tin được báo cáo bởi nhóm Threat Analysis Group (TAG) của Google, nhóm này cũng đã thành công trong việc có được phiên bản của công cụ và thực hiện phân tích mức độ nguy hiểm của nó. Theo báo cáo, công cụ có tên HYPERSCAPE và được xây dựng vào năm 2020 bởi nhóm được chính phủ hậu thuẫn có tên là Charming Kitten.

Hộp thư Gmail, Yahoo và Outlook có thể là mục tiêu tấn công của HYPERSCAPE.

Cuộc tấn công của Charming Kitten

Theo Google, công cụ này hoạt động trên điểm cuối của kẻ tấn công, có nghĩa là nạn nhân hoàn toàn không bị lừa tải xuống bất kỳ phần mềm độc hại nào. Tuy nhiên, điều cần thiết nhất của Charming Kitten là thông tin đăng nhập tài khoản của nạn nhân, có thể có được bằng cách khai thác qua xâm nhập hoặc sử dụng các phiên cookie bị đánh cắp, vì kẻ tấn công trước tiên cần đăng nhập vào tài khoản cần tải dữ liệu.

Sau khi vượt qua được bước đăng nhập, công cụ sẽ đánh lừa dịch vụ email, khiến nó nhận diện rằng nó đang được truy cập thông qua một trình duyệt lỗi thời và sẽ chuyển sang chế độ xem HTML cơ bản.

Sau đó, nó sẽ thay đổi ngôn ngữ của hộp thư đến sang tiếng Anh, bắt đầu mở từng email và tải chúng xuống dưới định dạng *.eml. Đặc biệt là những email được đánh dấu là chưa đọc trước khi bị tấn công vẫn sẽ được giữ nguyên trạng thái này. Khi giai đoạn tải về hoàn thành, nó sẽ xóa mọi email cảnh báo bảo mật, thay đổi ngôn ngữ về trạng thái ban đầu và biến mất.

Công cụ này cho đến nay đã được sử dụng để tấn công khoảng gần 20 tài khoản, tất cả đều ở Iran. Google cho biết họ đã thông báo cho toàn bộ chủ sở hữu của các tài khoản này thông qua hình thức cảnh báo Government Backed Attacker Warnings (Cảnh báo về những kẻ tấn công được chính phủ hậu thuẫn).

TAG nói thêm rằng công cụ này được viết bằng .NET dành cho PC chạy Windows, nó đã được thử nghiệm với Gmail, và chức năng có thể khác đối với Yahoo! và tài khoản Microsoft.

Các phiên bản trước đó của HYPERSCAPE cũng cho phép các tác nhân đe dọa yêu cầu dữ liệu từ Google Takeout, một tính năng cho phép người dùng xuất dữ liệu của họ sang dạng tệp nén và tải xuống. Tuy nhiên, tính năng này dường như không khả dụng trong phiên bản mới nhất.

Nguồn: [Link nguồn]Nguồn: [Link nguồn]