hyperscape.jpg


Η Ομάδα Ανάλυσης Απειλών (TAG) της Google κατάφερε να αποκτήσει ένα εργαλείο που μπορεί να κατεβάσει πλήρη εισερχόμενα email δημοφιλών πλατφορμών όπως το Gmail, το Microsoft Outlook, το Yahoo και άλλες. Το εργαλείο, που ονομάζεται HYPERSCAPE, έχει χρησιμοποιηθεί με επιτυχία για τη στόχευση άγνωστων ακόμη στόχων.

Οι ομάδες επίμονων απειλών που χρηματοδοτούνται από το κράτος φαίνεται να χρησιμοποιούν το HYPERSCAPE για να αφαιρέσουν όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου που συγκεντρώνονται σε ένα φάκελο εισερχομένων και η ερευνητική ομάδα της Google κατάφερε να αποκτήσει μια έκδοση του εργαλείου. Αυτή τη στιγμή η ομάδα εκτελεί προσομοιώσεις για να δει πόσο επικίνδυνο είναι.

Η Google ισχυρίζεται ότι το HYPERSCAPE μπορεί να λειτουργήσει στο τελικό σημείο του εισβολέα. Με άλλα λόγια, τα θύματα δεν χρειάζεται να εξαπατηθούν για να κατεβάσουν οποιοδήποτε κακόβουλο λογισμικό για να κάνει το εργαλείο τη δουλειά του. Οι εισβολείς, ωστόσο, χρειάζονται πρόσβαση στα διαπιστευτήρια λογαριασμού ή στα cookie συνεδρίας των θυμάτων τους. Οι εισβολείς πρέπει πρώτα να συνδεθούν με επιτυχία στους λογαριασμούς των θυμάτων τους για να μπορέσουν να αναπτύξουν το εργαλείο.

Φαίνεται ότι το εργαλείο ξεγελά τη στοχευμένη υπηρεσία email ώστε να πιστεύει ότι έχει πρόσβαση μέσω ενός παλιού προγράμματος περιήγησης. Για να διασφαλιστεί αξιόπιστη λειτουργικότητα, η υπηρεσία email μεταβαίνει στη βασική προβολή HTML. Αυτή η προβολή περιορίζει τις δυνατότητες, αλλά διασφαλίζει ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι προσβάσιμα.

Μόλις το εργαλείο αναγκάσει μια υπηρεσία email να μεταβεί σε μια βασική προβολή HTML, θα αλλάξει τη γλώσσα των εισερχομένων σε Αγγλικά. Στη συνέχεια, το HYPERSCAPE μετατρέπεται σε εργαλείο απόξεσης. Ξεκινά να ανοίγει τα email ένα προς ένα και να τα κατεβάζει σε μορφή .eml.

Για να αποφύγει τον εντοπισμό, το HYPERSCAPE διασφαλίζει ότι τα μηνύματα που δεν έχουν αναγνωσθεί προηγουμένως επισημαίνονται ως τέτοια. Μετά την επιτυχή λήψη όλων των email, το εργαλείο διαγράφει τυχόν μηνύματα προειδοποίησης, επαναφέρει τη γλώσσα στην αρχική της κατάσταση και εξαφανίζεται.

Επί του παρόντος, το HYPERSCAPE φαίνεται να στοχεύει λογαριασμούς που βρίσκονται στο Ιράν. Ωστόσο, είναι πολύ πιθανό άλλες ομάδες απειλών να αποκτήσουν το εργαλείο.