Hyperscraper, el programa iraní que roba las cuentas de correo electrónico

Un grupo de piratería iraní patrocinado por el estado Charming Kitten ha utilizado una herramienta para descargar mensajes de Gmail, Outlook y Yahoo. Esta técnica se llama 'Hyperscraper' y roba la bandeja de entrada de la víctima sin dejar pistas de la intrusión.

Los investigadores del Threat Analysis Group (TAG) de Google comparten en un documento el funcionamiento de Hyperscraper, además, afirman que está en fase de desarrollo.

No se trata de una herramienta de piratería, debido a que es un instrumento que ayuda al atacante a robar los datos de una cuenta de correo electrónico, de esta manera, almacena la información para iniciar sesión en el perfil de la víctima.

Un grupo de piratería iraní patrocinado por el estado Charming Kitten ha utilizado una herramienta para descargar mensajes de Gmail, Outlook y Yahoo. Esta técnica se llama 'Hyperscraper' y roba la bandeja de entrada de la víctima sin dejar pistas de la intrusión.

Los investigadores del Threat Analysis Group (TAG) de Google comparten en un documento el funcionamiento de Hyperscraper, además, afirman que está en fase de desarrollo.

No se trata de una herramienta de piratería, debido a que es un instrumento que ayuda al atacante a robar los datos de una cuenta de correo electrónico, de esta manera, almacena la información para iniciar sesión en el perfil de la víctima.

La obtención de las credenciales (nombre de usuario, contraseña y cookies de autenticación) se realiza en un paso previo al ataque. Hyperscraper tiene un navegador integrado e imita una web que proporciona una vista HTML básica del contenido de la cuenta de Gmail.

El documento de Google señala que "una vez iniciada la sesión, la herramienta cambia la configuración de idioma de la cuenta a inglés e itera a través del contenido del buzón, descargando mensajes individualmente como archivos .eml y marcándolos como no leídos".

Cuando se completa la filtración, Hyperscraper cambia el idioma a la configuración original y elimina las alertas de seguridad de Google. Además, el operador puede configurar la herramienta con los parámetros necesarios (modo de operación, ruta a un archivo de cookie válido y cadena de identificación) a través de una interfaz de usuario mínima.

Una vez que la cookie se analiza correctamente y se agrega a la memoria caché del navegador web, Hyperscraper crea una carpeta de 'Descarga' donde obtiene el contenido de la bandeja de entrada.

Hypercraper automatiza la revisión de una cuenta, abre los mensajes, los descarga en formato .EML y los deja como se encontraron originalmente. Si un email se marcó como no leído, la herramienta de Charming Kitten lo deja en el mismo estado después de copiarlo.

Al finalizar la tarea, Hyperscraper elimina cualquier correo electrónico de Google que pueda alertar sobre la actividad sospechosa (notificaciones de seguridad, intentos de inicio de sesión, acceso a aplicaciones o disponibilidad del archivo de datos).

 

Maria Manuela Rodríguez
[email protected]


× Contáctanos