أداة Google Uncovers أضاف الممثل المدعوم من الحكومة الإيرانية المعروف باسم Charming Kitten أداة جديدة إلى ترسانتها من البرامج الضارة تسمح لها باسترداد بيانات المستخدم من حسابات Gmail و Yahoo! و Microsoft Outlook.
يُقال أن البرنامج الضار قيد التطوير .
الذي أطلق عليه اسم HYPERSCRAPE من قِبل مجموعة تحليل التهديدات من Google (TAG) .
كذلك تم استخدامه ضد أقل من عشرين حسابًا في إيران ، ويعود أقدم نموذج معروف إلى عام 2020.
وقد تم اكتشاف أداة Google Uncovers لأول مرة في ديسمبر. 2021.
يُعتقد أن تشارمينغ كيتن ، وهو تهديد مستمر متقدم غزير (APT) .
مرتبط بالحرس الثوري الإسلامي الإيراني (IRGC) وله تاريخ في إجراء عمليات تجسس تتماشى مع مصالح الحكومة.
كما تم تتبعها باسم APT35 و Cobalt Illusion و ITG18 و Phosphorus و TA453 و Yellow Garuda .
كذلك قد نفذت عناصر من المجموعة أيضًا هجمات برمجيات الفدية ،
كما يشير إلى أن دوافع الفاعل التهديد هي تجسس ودوافع مالية.
قال أجاكس باش الباحث في Google TAG: “تتطلب HYPERSCRAPE بيانات اعتماد حساب الضحية للتشغيل باستخدام جلسة مستخدم صالحة ومصادق عليها اختطفها المهاجم أو بيانات الاعتماد التي حصل عليها المهاجم بالفعل” .
أداة Google Uncovers الأداة مكتوبة في .NET ومصممة للتشغيل على جهاز Windows الخاص بالمهاجم .
وتأتي الأداة بوظائف لتنزيل محتويات صندوق البريد الإلكتروني للضحية وسحبها .
بالإضافة إلى حذف رسائل البريد الإلكتروني الأمنية المرسلة من Google لتنبيه الهدف من أي عمليات تسجيل دخول مشبوهة.
إذا كانت الرسالة غير مقروءة في الأصل ، تقوم الأداة بتمييزها على أنها غير مقروءة بعد فتح البريد الإلكتروني وتنزيله كملف “.eml”.
علاوة على ذلك. كما يقال إن الإصدارات السابقة من HYPERSCRAPE قد تضمنت خيارًا لطلب البيانات من Google Takeout .
وهي ميزة تتيح للمستخدمين تصدير بياناتهم إلى ملف أرشيف قابل للتنزيل.
تأتي هذه النتائج في أعقاب الاكتشاف الأخير لأداة Telegram “grabber” المستندة إلى C ++ من قبل شركة PwC المستخدمة ضد الأهداف المحلية للوصول إلى رسائل Telegram وجهات الاتصال من حسابات محددة.
تم رصد المجموعة وهي تنشر برنامجًا مخصصًا للمراقبة يعمل بنظام Android يسمى LittleLooter .
وهو غرسة غنية بالميزات قادرة على جمع المعلومات الحساسة المخزنة في الأجهزة المعرضة للخطر بالإضافة إلى تسجيل الصوت والفيديو والمكالمات.
قال باش: “مثل الكثير من أدواتهم. فإن HYPERSCRAPE غير معروف بتطوره التقني .
بل فعاليته في تحقيق أهداف Charming Kitten”. ومنذ ذلك الحين. تمت إعادة تأمين الحسابات المتضررة وإخطار الضحايا.