Google разкри нов инструмент за кражба на данни

Hack Email Accounts

Подкрепяната от иранското правителство група, известна като Charming Kitten, добави нов инструмент към своя арсенал от зловреден софтуер, който й позволява да извлича потребителски данни от акаунти в Gmail, Yahoo! и Microsoft Outlook.

Наречен HYPERSCRAPE от Google Threat Analysis Group (TAG), злонамереният софтуер, който е в процес на активно разработване, се казва, че е бил използван срещу по-малко от две дузини акаунта в Иран, като най-старата известна проба датира от 2020г. Инструментът беше открит за първи път през декември 2021г.

Смята се, че Charming Kitten, плодотворна напреднала постоянна заплаха (APT), е свързана с Корпуса на гвардейците на ислямската революция (IRGC) на Иран и има история на извършване на шпионаж в съответствие с интересите на правителството.

Проследявани като APT35, Cobalt Illusion, ITG18, Phosphorus, TA453 и Yellow Garuda, елементи от групата също са извършвали атаки с рансъмуер, което предполага, че мотивите на бандата са както шпионски, така и финансови.

„HYPERSCRAPE изисква идентификационните данни на акаунта на жертвата да се изпълняват с помощта на валидна, удостоверена потребителска сесия, която хакерът е отвлякъл, или идентификационни данни, които хакерът вече е придобил“, казва изследователят на Google TAG Аякс Баш.

Написан на .NET и проектиран да работи на Windows машината на нападателя, инструментът идва с функции за изтегляне и ексфилтриране на съдържанието на входящата имейл кутия на жертвата, в допълнение към изтриването на имейли за сигурност, изпратени от Google, за да предупреди жертвата за всякакви подозрителни влизания.

Ако съобщението първоначално е непрочетено, инструментът го маркира като непрочетено след отваряне и изтегляне на имейла като файл „.eml“. Нещо повече, по-ранните версии на HYPERSCRAPE са включили опция за изискване на данни от Google Takeout, функция, която позволява на потребителите да експортират данните си в архивен файл за изтегляне.

Констатациите следват неотдавнашното откритие на базиран на C++ Telegram прихващащ инструмент от PwC, използван срещу вътрешни цели за получаване на достъп до съобщения и контакти в Telegram от конкретни акаунти.

Преди това групата беше забелязана да внедрява персонализиран Android софтуер за наблюдение, наречен LittleLooter, богат на функции имплант, способен да събира чувствителна информация, съхранявана в компрометираните устройства, както и да записва аудио, видео и разговори.

„Както голяма част от техните инструменти, HYPERSCRAPE не се отличава с техническата си сложност, а по-скоро с ефективността си при постигане на целите на Charming Kitten,“ казва Баш. Оттогава засегнатите акаунти са отново защитени и жертвите са уведомени.

Източник: The Hacker News

Подобни публикации

6 февруари 2023

Новият крипто токен Dingo начислява такса за тр...

Изследователи от компанията за ИТ сигурност Check Point security са...
6 февруари 2023

#9 Cyber Security Talks Bulgaria ще се проведе...

След страхотното събитие на КиберКЛУБ // CyberCLUB е отново време з...
4 февруари 2023

Нов рансъмуер използва грешка във VMware и се ...

Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предна...
3 февруари 2023

Разкрити са нови уязвимости в сигурността при е...

Две нови слабости в сигурността, открити в няколко системи за зареж...
3 февруари 2023

Google Ads популяризира "виртуализиран" зловред...

Продължаваща кампания за злонамерена реклама в Google разпространяв...
2 февруари 2023

Нови варианти на руския шпионския софтуер Gamar...

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално...
1 февруари 2023

Microsoft спря продажбата на Windows 10 по-рано

Слагайки край на една епоха, Microsoft вече не продава директно про...
Бъдете социални
Още по темата
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
03/02/2023

Google Ads популяризира "ви...

Продължаваща кампания за злонамерена реклама в...
28/01/2023

Украйна: Sandworm удари ин...

Украинският екип за реагиране при компютърни...
Последно добавени
06/02/2023

Новият крипто токен Dingo н...

Изследователи от компанията за ИТ сигурност...
06/02/2023

#9 Cyber Security Talks Bul...

След страхотното събитие на КиберКЛУБ //...
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!