 |
El grupo iraní conocido como Charming Kitten ha añadido una nueva herramienta a su arsenal de malware que le permite recuperar datos de usuarios de cuentas de Gmail, Yahoo! y Microsoft Outlook. |
Apodado HYPERSCRAPE por el Grupo de Análisis de Amenazas de Google (TAG), el software malicioso en desarrollo activo se dice que ha sido utilizado contra menos de dos docenas de cuentas en Irán, con la muestra más antigua conocida que data de 2020. La herramienta fue descubierta por primera vez en diciembre de 2021.
Se cree que Charming Kitten, una prolífica amenaza persistente avanzada (APT), está asociada al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) y tiene un historial de espionaje alineado con los intereses del gobierno.
Rastreados como APT35, Cobalt Illusion, ITG18, Phosphorus, TA453 y Yellow Garuda, los elementos del grupo también han llevado a cabo ataques de ransomware, lo que sugiere que los atacantes tienen motivos tanto de espionaje como financieros.
"HYPERSCRAPE requiere las credenciales de la cuenta de la víctima para ejecutarse utilizando una sesión de usuario válida y autentificada que el atacante ha secuestrado, o credenciales que el atacante ya ha adquirido", dijo el investigador de Google TAG Ajax Bash.
Escrita en .NET y diseñada para ejecutarse en la máquina Windows del atacante, la herramienta incluye funciones para descargar y exfiltrar el contenido de la bandeja de entrada del correo electrónico de la víctima, además de eliminar los correos electrónicos de seguridad enviados desde Google para alertar al objetivo de cualquier inicio de sesión sospechoso.
Si un mensaje es originalmente no leído, la herramienta lo marca como no leído después de abrir y descargar el correo electrónico como un archivo ".eml". Además, se dice que las versiones anteriores de HYPERSCRAPE incluían una opción para solicitar datos de Google Takeout, una función que permite a los usuarios exportar sus datos a un archivo descargable.
Los hallazgos se producen tras el reciente descubrimiento por parte de PwC de una herramienta de "captura" de Telegram basada en C++ y utilizada contra objetivos nacionales para obtener acceso a los mensajes y contactos de Telegram de cuentas específicas.
Anteriormente, el grupo fue descubierto desplegando un software de vigilancia personalizado para Android llamado LittleLooter, un implante con muchas funciones capaz de recopilar información sensible almacenada en los dispositivos comprometidos, así como de grabar audio, vídeo y llamadas.
"Al igual que gran parte de sus herramientas, HYPERSCRAPE no destaca por su sofisticación técnica, sino por su eficacia a la hora de cumplir los objetivos de Charming Kitten", afirma Bash. Las cuentas afectadas se han vuelto a proteger y las víctimas han sido notificadas.
Fuente: https://thehackernews.com/2022/08/google-uncovers-tool-used-by-iranian.html