Групі аналізу загроз Google (TAG) вдалося отримати інструмент, який може завантажувати повні скриньки електронної пошти популярних платформ, таких як Gmail, Microsoft Outlook, Yahoo та інших. Інструмент під назвою HYPERSCAPE успішно використовувався для націлювання на ще невідомі цілі.
Схоже, спонсоровані державою групи постійних загроз використовують HYPERSCAPE для перекачування всіх електронних листів, які накопичуються у вхідних, і дослідницькій групі Google вдалося отримати версію інструменту. Зараз команда проводить симуляції, щоб побачити, наскільки це небезпечно.
Google стверджує, що HYPERSCAPE може працювати на кінцевій точці зловмисника. Іншими словами, жертвам не потрібно обманом змушувати завантажувати будь-яке шкідливе програмне забезпечення, щоб інструмент виконував свою роботу. Проте зловмисникам потрібен доступ до облікових даних або сеансових файлів cookie їхніх жертв. Зловмисникам спочатку потрібно успішно ввійти в облікові записи своїх жертв, перш ніж вони зможуть розгорнути інструмент.
Схоже, інструмент обманює цільову службу електронної пошти, щоб вона подумала, що доступ до неї здійснюється через застарілий браузер. Щоб забезпечити надійну роботу, служба електронної пошти перемикається на базовий вигляд HTML. Цей режим перегляду обмежує функції, але забезпечує доступ до електронних листів.
Щойно інструмент примусово перемикнути службу електронної пошти на базовий вигляд HTML, він змінить мову папки «Вхідні» на англійську. Після цього HYPERSCAPE перетворюється на інструмент для скребка. Він починає відкривати електронні листи одне за іншим і завантажує їх у формат .eml.
Щоб уникнути виявлення, HYPERSCAPE гарантує, що раніше непрочитані електронні листи позначаються як такі. Після успішного завантаження всіх електронних листів інструмент видаляє всі електронні листи з попередженнями, повертає мову до початкового стану та зникає. Наразі HYPERSCAPE, схоже, націлений на облікові записи, розташовані в Ірані. Однак цілком можливо, що інструмент придбають інші групи загроз. Джерело