Google 威脅分析小組(TAG)設法獲得了一款工具,可用於下載 Gmail、Microsoft Outlook、Yahoo 等主流電子郵件平台的完整收件箱內容。該工具叫做 HYPERSCAPE,已經有證據表明用於對未知目標發起攻擊。
有國家背景的持續性威脅組織似乎正在使用 HYPERSCAPE 來提取收件箱中的所有電子郵件,而 Google 設法獲得了該工具的一個版本。該團隊目前正模擬這款工具,以觀察它的破壞力。
Google 表示 HYPERSCAPE 可以在攻擊者的終端上工作。換句話說,受害者不必被誘騙下載任何惡意軟件,來讓該工具完成其工作。但是,攻擊者確實需要訪問帳戶憑據或受害者的會話 cookie。攻擊者首先需要成功登錄受害者的帳戶,然後才能部署該工具。
似乎該工具欺騙了目標電子郵件服務,使其認為它是通過過時的瀏覽器訪問的。為確保功能可靠,電子郵件服務會切換到基本 HTML 視圖。此視圖雖然在功能上會有限制,但電子郵件可正常訪問。
一旦該工具強制電子郵件服務切換到基本的 HTML 視圖,它就會將收件箱的語言更改為英語。此後,HYPERSCAPE 變成了一種抓取工具。它開始一一打開電子郵件並將它們下載為 .eml 格式。
為了逃避檢測,HYPERSCAPE 確保以前未讀的電子郵件繼續標記為未讀。成功下載所有電子郵件后,該工具會刪除所有警告電子郵件,將語言恢復為原始狀態,然後消失。
目前,HYPERSCAPE 似乎針對的是位於伊朗的賬戶。但是,其他威脅團體很可能會獲得該工具。