Das Gruppe Bedrohungsanalyse (TAG) bei Google hat ein neues Tool namens entdeckt HYPERRAUM von der von der iranischen Regierung unterstützten Gruppe verwendet wird Charmantes Kätzchen die zum Einschleusen verwendet werden können Gmail, Yahoound Ausblick Posteingänge.
Laut dem Bericht wurde HYPERSPACE erstmals im Jahr 2020 entwickelt und wurde verwendet, um im Jahr 2021 Zugriff auf weniger als zwei Dutzend Konten zu erhalten. Der Bericht besagt, dass diese Konten nach Kenntnis von Google im Iran ansässig waren. Es gibt kein Wort darüber, ob das Tool verwendet wurde, um in andere Konten mit Sitz im Iran einzudringen.
Das TAG-Team von Google sagt, dass es in der Lage war, eine Version dieses Tools zu erhalten und es zu analysieren, um seine technische Raffinesse kennenzulernen. Und laut Team befindet sich das Tool noch in der aktiven Entwicklung.
Wie funktioniert HYPERSPACE?
Google sagt, dass das Tool auf dem Computer des Angreifers läuft, der dann verwendet wird, um die E-Mail-Konten der Benutzer zu infiltrieren, aber es benötigt vorab erworbene Anmeldeinformationen oder Cookie-Sitzungen.
Dieser Prozess muss also Benutzer nicht davon abhalten, Malware herunterzuladen. Sie benötigen jedoch die Anmeldeinformationen oder Cookie-Sitzungen, um den Angriff zu initialisieren. Aber das Tool unterscheidet sich stark von den Social-Engineering-Angriffen, die wir in der Vergangenheit gesehen haben.
Sobald der Angreifer in das E-Mail-Konto eingeloggt ist, täuscht das Tool dem Browser vor, dass der Zugriff auf den Client über eine alte Version erfolgt, wodurch die grundlegende HTML-Ansicht aktiviert wird, und dann ändert das Tool die Sprache auf Englisch.
Bald öffnet das Tool die E-Mails eine nach der anderen, lädt sie im .eml-Format herunter und markiert die E-Mail als ungelesen. Das Tool löscht sogar Warn-E-Mails und ändert die Sprache nach Abschluss wieder auf die Standardeinstellung.
Das Tool ist in .NET für Windows-PCs geschrieben. Das TAG-Team hat es auf Gmail in einer kontrollierten Umgebung getestet. Daher kann die Funktionalität für Outlook und Yahoo unterschiedlich sein. Google sagt, dass es alle Opfer durch die Government Backed Attacker Warnings informiert hat.
FacebookTwitterInstagramKOO-APPYOUTUBE