Google的威胁分析小组Threat Analysis Group,TAG在本周二的博文中指出,伊朗支持的威胁组织Charming Kitten于去年12月使用名为“Hyperscrape”的新工具,来下载Gmail、Yahoo和Microsoft Outlook的邮件。
该工具在攻击者的计算机上运行,通过使用之前获取的凭证登录受害者的帐户,然后下载相关的邮件收件箱。
根据TAG的数据,Hyperscrape的使用范围相对有限,已在伊朗的少于二十个帐户中被观察到,其中最旧的一个样本可以追溯到2020年。不过,TAG表示Hyperscrape仍然正在被活跃部署,并已对帐户进行了重新保护,同时也已通知受害者。
TAG在文章中指出,虽然Hyperscrape在技术上并不特别复杂,但因其在帮助APT达成任务方面非常有效而受到关注。
小黄鸭加速器官网入口该工具通过伪装用户代理来看起来像一个过时的浏览器,这样可以启用Gmail的基本HTML视图,TAG成员Ajax Bash写道。在将帐户语言改为英语并下载邮件为eml文件后,再恢复到原始设置并删除Google的任何安全邮件。
TAG在受控环境下测试了Hyperscrape的Gmail帐户,但是它指出对Yahoo和Microsoft帐户的功能可能有所不同。
图片来源:
