有国家背景的持续性威胁组织似乎正在使用 HYPERSCAPE 来提取收件箱中的所有电子邮件,而 Google 设法获得了该工具的一个版本。该团队目前正模拟这款工具,以观察它的破坏力。
Google 表示 HYPERSCAPE 可以在攻击者的终端上工作。换句话说,受害者不必被诱骗下载任何恶意软件,来让该工具完成其工作。但是,攻击者确实需要访问帐户凭据或受害者的会话 cookie。攻击者首先需要成功登录受害者的帐户,然后才能部署该工具。
似乎该工具欺骗了目标电子邮件服务,使其认为它是通过过时的浏览器访问的。为确保功能可靠,电子邮件服务会切换到基本 HTML 视图。此视图虽然在功能上会有限制,但电子邮件可正常访问。
一旦该工具强制电子邮件服务切换到基本的 HTML 视图,它就会将收件箱的语言更改为英语。此后,HYPERSCAPE 变成了一种抓取工具。它开始一一打开电子邮件并将它们下载为 .eml 格式。
为了逃避检测,HYPERSCAPE 确保以前未读的电子邮件继续标记为未读。成功下载所有电子邮件后,该工具会删除所有警告电子邮件,将语言恢复为原始状态,然后消失。
目前,HYPERSCAPE 似乎针对的是位于伊朗的账户。但是,其他威胁团体很可能会获得该工具。
最新文章