HYPERSCRAPE, un outil utilisé pour siphonner les boites mails Google, Yahoo et Outlook
D'après Google, l'outil HYPERSCRAPE serait utilisé par un groupe de cybercriminels pour siphonner le contenu des boîtes aux lettres sur Gmail, Yahoo et Outlook. Actuellement, il serait utilisé contre des utilisateurs basés en Iran, mais son évolution est à surveiller.
Dans une nouvelle publication, les chercheurs de l'équipe Google Threat Analysis émettent une alerte sur ce nouvel outil baptisé HYPERSCRAPE et qui a un objectif très simple : télécharger l'ensemble des e-mails de votre boîte aux lettres, à votre insu.
Pour réaliser cette manipulation, les pirates doivent disposer de vos identifiants (adresse e-mail et mot de passe) ou avoir volé au préalable un cookie d'authentification. Cela signifie que les pirates n'ont pas besoin de compromettre la machine de l'utilisateur cible pour déployer un logiciel malveillant puisque HYPERSCRAPE s'installe sur la machine de l'attaquant.
Éventuellement, cette étape est nécessaire pour récupérer les identifiants ou un cookie d'authentification, afin de permettre à l'attaquant de siphonner votre boîte aux lettres dans un second temps à partir de sa propre machine. On peut dire qu'HYPERSCRAPE est le dernier maillon de la chaîne.
Au moment d'agir, HYPERSCRAPE va prendre quelques précautions pour éviter les soupçons et pour rester invisible. Tout d'abord, il va supprimer les éventuelles alertes de connexion reçue, du style "Nouvelle connexion depuis l'emplacement XYZ". Ensuite, il va faire en sorte que tous les e-mails non lus restent bien dans cet état, afin de laisser la boîte aux lettres dans le même état qu'elle était avant l'intervention malveillante.
L'automatisation de ce processus implique d'utiliser la langue anglaise, donc HYPERSCRAPE va configurer la boîte aux lettres en anglais, avant de revenir sur le langage d'origine une fois les données exfiltrées (au format EML). En complément, il s'appuie sur un navigateur dans une ancienne version pour forcer l'affichage HTML basique : cela limite les fonctionnalités.
Qui est ciblé par HYPERSCRAPE ?
D'après l'analyse des chercheurs de Google, cet outil a fait une vingtaine de victimes, uniquement en Iran. Pour le moment, il ne serait pas utilisé à l'étranger, mais il faudra surveiller son évolution. Il serait utilisé par les membres du groupe APT35, autrement appelé Charming Kitten, qui est un groupe proche du gouvernement iranien.
Pour être moins vulnérable à ce type d'attaque, il convient d'activer l'authentification multifacteurs sur ses différents comptes de messagerie : la méthode MFA la plus sûre consiste à utiliser une clé physique.
Très intéressant comme article.
Le pire est vraiment la partie :
<>
Bien que ces mails peuvent être pénibles selon notre utilisation de la boite mail, il est vrai que ne pas pouvoir les supprimer avant x jours ou les mettre en notification rend cette alerte peu sûre.