Los piratas informáticos tienen una nueva herramienta que descarga las bandejas de entrada de Gmail, Yahoo y Outlook

Los piratas informáticos patrocinados por el estado iraní han creado una nueva herramienta capaz de descargar las bandejas de entrada de Gmail, Yahoo y Outlook, y la están utilizando contra objetivos desconocidos de alto perfil.

Eso es según un nuevo informe del Threat Analysis Group (TAG) de Google, que logró obtener una versión de la herramienta y ejecutar un análisis para ver qué tan peligroso es.

Según el informe, la herramienta en cuestión se llama HYPERSCAPE y fue construida en 2020 por el grupo respaldado por el gobierno conocido como Charming Kitten.

Ataques de gatitos encantadores

Según Google, la herramienta se ejecuta en el dispositivo del atacante, lo que significa que no es necesario engañar a las víctimas para que descarguen malware. Sin embargo, deben comprometer las credenciales de su cuenta o robar las cookies de sesión, ya que el atacante primero debe iniciar sesión en su cuenta.

Una vez que complete este paso, la herramienta engañará al servicio de correo para que piense que es accesible a través de un navegador obsoleto y cambiará a la vista HTML básica.

Después de eso, cambiará el idioma de la bandeja de entrada a inglés, comenzará a abrir los correos electrónicos uno por uno y los descargará en formato .eml. Los correos electrónicos marcados como no leídos antes del ataque también se marcarán como no leídos después. Una vez completado este paso, eliminará todos los correos electrónicos de advertencia, devolverá el idioma a su estado original y desaparecerá.

Aparentemente, la herramienta hasta ahora solo se ha utilizado contra no más de dos docenas de cuentas, todas ubicadas en Irán. Google dice que les notificó a todos a través de sus advertencias de atacantes respaldadas por el gobierno. La herramienta fue escrita en .NET para PC con Windows, agregó TAG, diciendo que la ha probado con Gmail, "aunque la funcionalidad puede diferir para las cuentas de Yahoo! y Microsoft".

Las versiones anteriores de HYPERSCAPE también permitían a los piratas informáticos solicitar datos de Google Takeout, una función que permitía a los usuarios exportar sus datos a un archivo de almacenamiento descargable. Sin embargo, la característica no parece estar disponible en la última versión.