Phát hiện công cụ cho phép hacker download hộp thư đến của Gmail, Yahoo và Outlook cực dễ dàng

Nhóm phân tích mối đe dọa của Google (Threat Analysis Group - TAG) vừa tuyên bố thu giữ thành công một công cụ có thể hỗ trợ download hộp thư đến của các nền tảng email phổ biến như Gmail, Microsoft Outlook, Yahoo… một cách đầy đủ, chính xác và nhanh chóng. Công cụ này có tên HYPERSCAPE, đã được sử dụng thành công trong một số chiến dịch độc hại nhỏ lẻ chưa xác định.

Theo kết quả điều tra sơ bộ của TAG, một số nhóm hacker được nhà nước bảo trợ dường như đã sử dụng HYPERSCAPE để loại bỏ tất cả các email tích tụ trong hộp thư đến. Nhóm nghiên cứu Google đã có được phiên bản mới nhất của công cụ này. Hiện tại, nhóm đang tiến hành chạy mô phỏng để đánh mức độ nguy hiểm của nó trong thực tế triển khai.

Google tuyên bố HYPERSCAPE có thể hoạt động trên điểm cuối của kẻ tấn công. Nói cách khác, nạn nhân không cần phải bị lừa tải xuống bất kỳ phần mềm độc hại nào để công cụ thực hiện công việc của mình. Tuy nhiên, những kẻ tấn công sẽ cần quyền truy cập vào thông tin đăng nhập tài khoản, hoặc cookie phiên của nạn nhân. Trước tiên, hacker cần đăng nhập thành công vào tài khoản của nạn nhân rồi mời có thể triển khai công cụ.

Có vẻ như HYPERSCAPE sở hữu khả năng đánh lừa dịch vụ email mục tiêu rằng nó đang được truy cập thông qua một trình duyệt lỗi thời. Để đảm bảo chức năng đáng tin cậy, dịch vụ email sẽ tự động chuyển sang chế độ xem HTML cơ bản. Chế độ xem này giới hạn về mặt tính năng nhưng đảm bảo có thể truy cập được email một cách ổn định.

Khi công cụ buộc dịch vụ email chuyển sang chế độ xem HTML cơ bản, nó sẽ thay đổi ngôn ngữ của hộp thư đến thành tiếng Anh. Sau đó, HYPERSCAPE biến thành một công cụ scraping. Sau đó, nó bắt đầu mở từng email một và download chúng xuống với định dạng .eml.

Để tránh bị phát hiện, HYPERSCAPE sẽ đảm bảo các email chưa trước đó được đánh dấu cụ thể. Sau khi tải xuống thành công toàn bộ hộp thư đến, công cụ sẽ xóa mọi email cảnh báo, hoàn nguyên ngôn ngữ về trạng thái ban đầu và biến mất.

Hiện tại, HYPERSCAPE dường như đang nhắm mục tiêu đến các tài khoản ở Iran. Tuy nhiên, rất có thể các nhóm đe dọa khác cũng đã nắm trong tay công cụ này, và không loại trừ khả năng các cuộc tấn công dựa trên HYPERSCAPE sẽ được triển khai phổ biến trong thời gian tới.