Los piratas informáticos patrocinados por el estado iraní han descubierto formas de infiltrarse en las bandejas de entrada de Gmail, Yahoo y Outlook de al menos dos docenas de usuarios de alto perfil y descargar su contenido, según un informe de Google Threat Analysis Group (TAG).
El grupo respaldado por el gobierno conocido como Charming Kitten desarrolló originalmente una herramienta de piratería llamada Hyperscape en 2020 y la ha utilizado para orquestar los ataques cibernéticos recientes. TAG pudo obtener una versión de esta herramienta para análisis, informó TechRadar.
Google explicó que el ataque funciona de manera sigilosa donde no existe un ritual típico de piratería, como engañar a un usuario para que descargue malware. En cambio, los piratas informáticos controlan la herramienta desde su extremo, aprovechando las vulnerabilidades, como las credenciales de cuenta comprometidas o las cookies de sesión robadas, para acceder a una cuenta.
Si bien este ataque cibernético en particular puede haber tenido una motivación política, Google está claramente interesado en cómo otras personas podrían usar estas vulnerabilidades en el futuro.
Un informe reciente de Sophos detalla cómo el robo de cookies se encuentra entre las últimas tendencias en ciberdelincuencia. Los piratas informáticos utilizan el método para eludir medidas de seguridad como la autenticación multifactor y acceder a bases de datos privadas.
En este caso, una vez que inician sesión en la cuenta de correo electrónico, los piratas informáticos usan la herramienta para engañar al servicio de correo electrónico para que piense que un navegador está desactualizado, lo que luego lo cambia a una vista HTML básica. Luego cambia el idioma de la bandeja de entrada a inglés y abre los correos electrónicos individualmente para comenzar a descargarlos en formato .eml. Luego, los piratas informáticos marcan los correos electrónicos abiertos como no leídos y eliminan los correos electrónicos de advertencia, vuelven a configurar la bandeja de entrada en su idioma original y salen.
A pesar de su ejecución aparentemente fluida, Google ha aprendido mucho sobre los ataques cibernéticos y ha notificado a todas las cuentas conocidas que se vieron afectadas a través de sus Advertencias de atacante respaldadas por el gobierno. TAG ha descifrado que la herramienta fue escrita en .NET para PC con Windows y señaló que los ataques podrían funcionar de manera diferente en las bandejas de entrada de Yahoo y Outlook. Por el momento, el grupo de seguridad solo ha probado la herramienta en Gmail.
Recomendaciones de los editores