Um programa malicioso capaz de acessar as caixas de entrada do Gmail, Yahoo! e Outlook, entre outros serviços de e-mail, está sendo utilizada por hackers iranianos para extrair dados de contas comprometidas. A ferramenta foi detalhada pela Google na terça-feira (23).
Especialistas do Grupo de Análise de Ameaças da Google (TAG) identificaram o HYPERSCRAPE, como a ameaça foi batizada, em dezembro do ano passado. De acordo com eles, o programa é executado no próprio dispositivo do invasor, não exigindo o download de nenhum tipo de malware por parte da vítima.
Os cibercriminosos precisam apenas acessar as credenciais da conta do alvo ou os cookies de sessão do navegador. Realizada esta etapa, a ferramenta entra em ação, enganando o serviço de e-mail para que ele detecte o acesso à conta por um browser desatualizado, configurando o programa para a visualização de HTML básico.
O Gmail é uma das plataformas que podem ter os dados extraídos pela ferramenta.Fonte: Unsplash
Na sequência, o HYPERSCRAPE modifica o idioma da caixa de entrada para o inglês, abre todos os e-mails encontrados nela e realiza o download no formato .eml. Finalizado o processo, a ferramenta exclui todas as mensagens de segurança geradas pela atividade ilícita e retorna a configuração da plataforma para o estado anterior, inclusive remarcando as mensagens que não haviam sido lidas.
Alvos no Irã
De acordo com a gigante de Mountain View, a ferramenta foi utilizada somente contra vítimas localizadas no Irã, até o momento. Mas isso não impede que ela seja adquirida e usada por mais grupos de cibercriminosos em outras regiões.
Todos os alvos que possuem cadastro no Gmail foram notificados pela empresa, que recomendou aos usuários de alto risco a inscrição no Programa de Proteção Avançada (APP) da big tech. A companhia recomendou ainda o uso da navegação segura aprimorada no nível da conta do Google para reforçar a segurança da conta.