Подкрепяната от иранското правителство група, известна като Charming Kitten, добави нов инструмент към своя арсенал от зловреден софтуер, който й позволява да извлича потребителски данни от акаунти в Gmail, Yahoo! и Microsoft Outlook.

Наречен HYPERSCRAPE от Google Threat Analysis Group (TAG), злонамереният софтуер, който е в процес на активно разработване, се казва, че е бил използван срещу по-малко от две дузини акаунта в Иран, като най-старата известна проба датира от 2020г. Инструментът беше открит за първи път през декември 2021г.

Смята се, че Charming Kitten, плодотворна напреднала постоянна заплаха (APT), е свързана с Корпуса на гвардейците на ислямската революция (IRGC) на Иран и има история на извършване на шпионаж в съответствие с интересите на правителството.

Проследявани като APT35, Cobalt Illusion, ITG18, Phosphorus, TA453 и Yellow Garuda, елементи от групата също са извършвали атаки с рансъмуер, което предполага, че мотивите на бандата са както шпионски, така и финансови.

„HYPERSCRAPE изисква идентификационните данни на акаунта на жертвата да се изпълняват с помощта на валидна, удостоверена потребителска сесия, която хакерът е отвлякъл, или идентификационни данни, които хакерът вече е придобил“, казва изследователят на Google TAG Аякс Баш.

Написан на .NET и проектиран да работи на Windows машината на нападателя, инструментът идва с функции за изтегляне и ексфилтриране на съдържанието на входящата имейл кутия на жертвата, в допълнение към изтриването на имейли за сигурност, изпратени от Google, за да предупреди жертвата за всякакви подозрителни влизания.

Ако съобщението първоначално е непрочетено, инструментът го маркира като непрочетено след отваряне и изтегляне на имейла като файл „.eml“. Нещо повече, по-ранните версии на HYPERSCRAPE са включили опция за изискване на данни от Google Takeout, функция, която позволява на потребителите да експортират данните си в архивен файл за изтегляне.

Констатациите следват неотдавнашното откритие на базиран на C++ Telegram прихващащ инструмент от PwC, използван срещу вътрешни цели за получаване на достъп до съобщения и контакти в Telegram от конкретни акаунти.

Преди това групата беше забелязана да внедрява персонализиран Android софтуер за наблюдение, наречен LittleLooter, богат на функции имплант, способен да събира чувствителна информация, съхранявана в компрометираните устройства, както и да записва аудио, видео и разговори.

„Както голяма част от техните инструменти, HYPERSCRAPE не се отличава с техническата си сложност, а по-скоро с ефективността си при постигане на целите на Charming Kitten,“ казва Баш. Оттогава засегнатите акаунти са отново защитени и жертвите са уведомени.