Los piratas informáticos patrocinados por el estado iraní han creado una nueva herramienta capaz de descargar las bandejas de entrada de Gmail, Yahoo y Outlook, y la están utilizando contra objetivos desconocidos de alto perfil.
Esto es según un nuevo informe del Threat Analysis Group (TAG) de Google, que logró obtener una versión de la herramienta y realizar un análisis para ver cuán peligrosa es.
Según el informe, la herramienta en cuestión se llama HYPERSCAPE y fue construida en 2020 por el grupo respaldado por el gobierno conocido como Charming Kitten.
Ataques de gatitos encantadores
Según Google, la herramienta funciona en el terminal del atacante, lo que significa que no es necesario engañar a las víctimas para que descarguen ningún malware. Sin embargo, necesitan que se comprometan las credenciales de su cuenta o que se roben las cookies de sesión, ya que el atacante primero debe iniciar sesión en su cuenta.
Una vez que se logra ese paso, la herramienta engañará al servicio de correo electrónico para que piense que se está accediendo a través de un navegador obsoleto y cambiará a la vista HTML básica.
Después de eso, cambiará el idioma de la bandeja de entrada a inglés, comenzará a abrir los correos electrónicos uno por uno y los descargará en formato .eml. Los mensajes de correo electrónico que se marcaron como no leídos antes del ataque también se marcarán como no leídos después. Una vez que se complete esa etapa, eliminará cualquier correo electrónico de advertencia, revertirá el idioma a su estado original y desaparecerá.
Aparentemente, hasta ahora la herramienta se ha utilizado contra no más de dos docenas de cuentas, todas ubicadas en Irán. Google dice que les notificó a todos a través de sus Advertencias de atacante respaldadas por el gobierno. La herramienta fue escrita en .NET para PC con Windows, agregó TAG, diciendo que la probó con Gmail, “aunque la funcionalidad puede diferir para Yahoo! y cuentas de Microsoft».
Las versiones anteriores de HYPERSCAPE también permitían a los actores de amenazas solicitar datos de Google Takeout, una función que permitía a los usuarios exportar sus datos a un archivo de almacenamiento descargable. Sin embargo, la característica no parece estar disponible en la última versión.