Группе анализа сетевых угроз Google (TAG) удалось заполучить в своё распоряжение инструмент, способный полностью скачивать содержимое почтовых ящиков популярных сервисов Gmail, Microsoft Outlook, Yahoo и не только. Инструмент носит название HYPERSCAPE.
Спонсируемые государством группы могут применять HYPERSCAPE для перехвата всех электронных писем в папке «Входящие». Исследовательской группе Google удалось получить версию этого инструмента и проверить его в деле.
В Google говорят, что HYPERSCAPE может работать на стороне злоумышленника. Это значит, что не нужно пытаться обманом заставить жертву скачать что-то себе на компьютер. При этом хакерам необходим доступ к учётным данным или файлам куки сеанса своих целей. В общем, нужен логин и пароль от почты жертвы, что делает этот инструмент уже не таким интересным.
Программа обманывает сервис электронной почты, которому кажется, что к нему обращаются через устаревший браузер. Для надёжности сервис электронной почты переключается на базовое представление HTML с ограниченными возможностями.
Дальше язык папки «Входящие» меняется на английский. Затем HYPERSCAPE начинает открывать электронные письма по очереди и скачивать их в формате .eml.
Если письма в начале были непрочитанными, HYPERSCAPE ставит пометку, чтобы они таковыми и оставались и пользователь ничего не заметил. После скачивания инструмент удаляет все письма с предупреждениями, меняет язык на прежний и удаляется.
Сейчас HYPERSCAPE нацелен на учётные записи в Иране, но в будущем ничего не мешает применять его против людей из других стран.
Источник: Neowin