Des pirates informatiques parrainés par l’État iranien ont construit un nouvel outil capable de télécharger les boîtes de réception Gmail, Yahoo et Outlook, et l’utilisent contre des cibles inconnues de premier plan.
C’est selon un nouveau rapport du Threat Analysis Group (TAG) de Google, qui a réussi à obtenir une version de l’outil et à effectuer une analyse pour voir à quel point il est dangereux.
Selon le rapport, l’outil en question s’appelle HYPERSCAPE et a été construit en 2020 par le groupe soutenu par le gouvernement connu sous le nom de Charming Kitten.
Attaques de chatons charmants
Selon Google, l’outil fonctionne sur le terminal de l’attaquant, ce qui signifie que les victimes n’ont pas à être amenées à télécharger des logiciels malveillants. Cependant, ils doivent soit compromettre les informations d’identification de leur compte, soit voler les cookies de session, car l’attaquant doit d’abord se connecter à leur compte.
Une fois cette étape franchie, l’outil trompera le service de messagerie en lui faisant croire qu’il est accessible via un navigateur obsolète et passera à la vue HTML de base.
Après cela, il changera la langue de la boîte de réception en anglais, commencera à ouvrir les e-mails un par un et les téléchargera au format .eml. Les e-mails marqués comme non lus avant l’attaque seront également marqués comme non lus par la suite. Une fois cette étape terminée, il supprimera tous les e-mails d’avertissement, ramènera la langue à son état d’origine et disparaîtra.
Apparemment, l’outil n’a jusqu’à présent été utilisé que contre pas plus de deux douzaines de comptes, tous situés en Iran. Google dit qu’il les a tous notifiés via ses avertissements d’attaquants soutenus par le gouvernement. L’outil a été écrit en .NET pour les PC Windows, a ajouté TAG, affirmant qu’il l’avait testé avec Gmail, « bien que les fonctionnalités puissent différer pour Yahoo! et comptes Microsoft ».
Les versions antérieures d’HYPERSCAPE permettaient également aux pirates de demander des données à Google Takeout, une fonctionnalité permettant aux utilisateurs d’exporter leurs données vers un fichier d’archive téléchargeable. Cependant, la fonctionnalité ne semble pas être disponible dans la dernière version.