El grupo de piratas informáticos iraníes patrocinado por el estado Charming Kitten, ha estado usando una nueva herramienta, Hyperscraper, para descargar mensajes de correos electrónicos de cuentas específicas de Gmail, Yahoo y también Microsoft Outlook.
Como muchas otras herramientas y operaciones por parte de los actores de amenazas, esta herramienta en sí se encuentra muy lejos de ser sofisticada.
Gracias a su falta de complejidad técnica se equilibra con la eficacia, una característica que permite a los piratas informáticos robar la bandeja de entrada de cualquier víctima, todo esto sin dejar pistas de tal intrusión.
En un informe técnico revelado el día de hoy, los investigadores del Threat Analysis Group (TAG) de Google, comparten detalles sobre la funcionalidad de Hyperscraper y dicen que se encuentra en desarrollo activo.
Google TAG atribuye la herramienta a Charming Kitten, el cual es un grupo respaldado por Irán que también se conoce cómo APT 35 y Phosphorus, y destacan que la muestra más antigua que contrataron data del año 2020.
Los investigadores encontraron Hyperscraper en diciembre del año 2021, y lo analizaron haciendo uso de una cuenta Gmail de prueba, no se trata de una herramienta de piratería.
Sino de una clase de instrumento que ayuda al atacante a robar los datos de correos electrónicos, y posteriormente a almacenarlos en su máquina después de iniciar sesión en la cuenta de correo electrónico de la víctima.
¿Cómo logra Hyperscraper acceder a las cuentas de correos electrónicos de sus víctimas?
Hyperscraper obtiene las credenciales como el nombre de usuario y contraseña, cookies de autenticación, para la bandeja de entrada de destino se realiza un paso previo al ataque, comúnmente robandolas.
Esta herramienta posee un navegador integrado y falsifica el agente de usuario, de esta forma logra imitar un navegador web obsoleto, este proporciona una vista HTML básica del contenido de la cuenta de Gmail.
Una vez que se inicia la sesión, la herramienta cambia la configuración de idioma de la cuenta a inglés, e itera a través del contenido del buzón descargando mensajes individuales como archivo .eml y marcándolos como no leídos, según Google TAG.
Al completarse la exfiltración, es herramienta cambia el idioma a la configuración original, y procede a eliminar las alertas de seguridad de Google para una huella mínima.
Los investigadores de Google TAG dicen que las variantes más viejas, que la utilidad de Charming Kitten podrían solicitar datos del mismo Google Takeout; un servicio que ofrece a los usuarios exportar datos de su cuenta Google, para así hacer una copia de seguridad o usarlos con un servicio de terceros.
¿Qué sucede cuando se ejecuta esta herramienta de robo de datos?
Cuando se procede a ejecutar, este se comunica con un servidor de comandos y control (C2) que espera la confirmación para así poder iniciar el proceso de exfiltración.
Cabe destacar, que el operador puede configurar la herramienta con los parámetros necesarios, usando argumentos de línea de comandos o a través de una interfaz de usuario mínima.
Si la ruta al archivo de cookies no se ha proporcionado en la línea de comando, el operador puede con total tranquilidad arrastrarlo y soltarlo en un nuevo formulario.
Una vez que las cookies se han logrado analizar con éxito y se han agregado a la memoria caché local del navegador web, Hyperscraper crear una carpeta de descarga, dónde descargar el contenido de la bandeja de entrada de destino.
Los investigadores han destacado que si la cookie no proporciona acceso a la cuenta, el operador podría iniciar sesión de forma manual. Esta herramienta automatiza la revisión de todas las sesiones de una cuenta de correo electrónico.
También abre los mensajes y los descarga en formato .EML, y los deja como se encontraron originalmente; si un mensaje se marca inicialmente cómo no leído, la herramienta de Charming Kitten lo deja en el mismo estado luego de copiarlo.
¿Qué ocurre luego de realizar este ataque?
Esta herramienta iraní guarda todos los correos electrónicos de manera local, en el ordenador del operador, junto con registros que muestran un recuento de los mensajes robados y no envía al servidor C2 más datos que el estado y la información del sistema.
Al final de todo, la herramienta cubre sus huellas al eliminar cualquier correo electrónico de Google, que pueda alertar a la víctima sobre la actividad del actor de amenazas.
Recomendamos a los usuarios que recibieron dicha advertencia reforzar sus defensas contra atacantes sofisticados, inscribiéndose en el Programa de Protección Avanzada (AAP) de Google.
¿Qué opinas tú acerca de todo este problema, en especial este ligado a piratas informáticos iraníes y la herramienta Hyperscraper?