Иранские хакеры взламывают почтовые ящики Gmail и Outlook для кражи данных

Специалисты в сфере информационной безопасности компании Google обнаружили инструмент Hyperscrape, который используется злоумышленниками для кражи данных из взломанных почтовых ящиков Gmail, Microsoft Outlook и Yahoo!. Согласно имеющимся данным, этот инструмент использует иранская хакерская группировка Charming Kitten.

Источник изображения: Gerd Altmann / pixabay.com

Считается, что группировка Charming Kitten, известная также под названием APT35, сотрудничает со спецслужбами Ирана, в том числе с военной разведкой. Представитель подразделения Google Threat Analysis Group Аякс Баш (Ajax Bash) сообщил, что инструмент Hyperscrape использовался хакерами не более двух десятков раз. Несмотря на то, что впервые о нём стало известно ещё в 2020 году, активная разработка Hyperscrape продолжается и сейчас.

Использование этого инструмента для выкачивания данных возможно только после компрометации почтового аккаунта жертвы. Hyperscrape автоматически изменяет язык интерфейса почтового ящика на английский, после чего выкачивает его содержимое в виде отдельных файлов формата .eml. Когда этот процесс завершён, все сообщения помечаются как непрочитанные, а язык интерфейса становится прежним. Отмечается, что в прошлых версиях Hyperscrape присутствовала функция обращения к Google Takeout, что позволяло скачать все данные из скомпрометированного аккаунта Google в виде архива.

Как именно хакеры взламывают почтовые ящики не уточняется. Согласно имеющимся данным, Google уведомила пользователей, аккаунты которых были скомпрометированы хакерами. В прошлом группировка Charming Kitten занималась проведением разного рода хакерских атак, а также распространяла вредоносное программное обеспечение.