Подкрепяният от иранското правителство играч, известен като Charming Kitten, е добавил нов инструмент към своя арсенал от зловреден софтуер, който му позволява да извлича потребителски данни от акаунти в Gmail, Yahoo! и Microsoft Outlook.
Google Threat Analysis Group (TAG) го нарекоха HYPERSCRAPE. Оказва се, че този „злонамерен“ софтуер, който е в процес на активно разработване, е бил използван срещу близо 25 акаунта в Иран, като най-старата известна атака датира от 2020 година. Инструментът е регистриран за първи път през декември 2021 година.
Смята се, че групата Charming Kitten – една силно развита и устойчива заплаха (APT) в киберпространството, според класификацията на Google Threat Analysis Group, е свързана с Корпуса на гвардейците на ислямската революция (IRGC) на Иран и е създадена с цел извършване на шпионаж за целите на правителството в Техеран.
Проследени са групи като APT35, Cobalt Illusion, ITG18, Phosphorus, TA453 и Yellow Garuda, които са част от Charming Kitten и също извършват атаки с цел откуп в киберпространството. Ето защо се предполага, че техните цели не са само шпионаж, но и са чисто финансови.
Анализаторът от Google TAG Аякс Баш твърди, че за целите на HYPERSCRAPE идентификационните данни на акаунта на жертвата трябва да се използват в рамките на валидна, удостоверена потребителска сесия, която хакерът е „отвлякъл“. Втората опция да се случи "хакването" е чрез идентификационни данни, които зложелателят вече е придобил.
Инструментът на хакерите е проектиран да работи на Windows и е с функции за изтегляне и ексфилтриране на съдържанието от входящите имейли на жертвата. Най-неприятното е, че този хакерски инструмент изтрива имейлите за сигурност, които Google изпраща, за да предупреди жертвата, че в мейла й са регистрирани подозрителни влизания.
Ако дадено съобщение първоначално е непрочетено, инструментът го маркира отново като непрочетено дори и ако го е отворил и изтеглил като файл ".eml".
По-ранните версии на HYPERSCRAPE са включили опция за изискване на данни от Google Takeout, функция, която позволява на потребителите да експортват своите данни в архивен файл, който е пригоден за изтегляне. Експертът визира неотдавнашното откриване на базиран на Telegram инструмент, чрез който се получава достъп до съобщения и контакти в негови конкретни акаунти.
Преди това иранската група беше забелязана да внедрява персонализиран Android софтуер за наблюдение, наречен LittleLooter, който представлява имплант, богат с различни функции и способен да събира чувствителна информация, съхранявана в „хакнатите“ устройства. Този инструмент може да записва аудио и видеоразговори. Аякс Баш се опитва да внесе успокоение – той е категоричен, че „хватките“ на HYPERSCRAPE не се отличават с техническата си сложност, а по-скоро с ефективността си при постигането на целите на Charming Kitten. Той обръща внимание, че засегнатите акаунти отново са защитени, а жертвите са уведомени да бъдат по-внимателни в бъдеще.
