Google: Peretas Iran Gunakan Alat Baru Untuk Curi Email Korban

Cyberthreat.id – Para peneliti dari Grup Analisis Ancaman Google (TAG) mengungkapkan bahwa kelompok peretas yang disponsori negara Iran, Charming Kitten, telah menggunakan alat baru untuk mengunduh pesan email dari akun Gmail, Yahoo, dan Microsoft Outlook yang ditargetkan.

Dikutip dari Bleeping Computer, alat baru tersebut bernama Hyperscraper, yang memungkinkan peretas untuk mencuri kotak masuk korban tanpa meninggalkan banyak petunjuk tentang penyusupan. Menurut para peneliti, alat ini sedang dalam masa pengembangan aktif.

Para peneliti menemukan Hyperscraper pada Desember 2021 dan menganalisisnya menggunakan akun Gmail percobaan. Ini bukan alat peretasan tetapi alat yang membantu penyerang mencuri data email dan menyimpannya di mesin mereka setelah masuk ke akun email korban. Hyperscraper memiliki browser yang disematkan dan memalsukan agen pengguna untuk meniru browser web usang, yang memberikan tampilan HTML dasar dari konten akun Gmail.

"Setelah masuk, alat ini mengubah pengaturan bahasa akun ke bahasa Inggris dan mengulangi isi kotak surat, mengunduh pesan satu per satu sebagai file .eml dan menandainya belum dibaca,” ungkap para peneliti.

Ketika eksfiltrasi selesai, Hyperscraper akan mengubah bahasa ke pengaturan asli dan menghapus peringatan keamanan dari Google untuk jejak minimum.

Peneliti Google TAG mengatakan bahwa varian lama dari utilitas Charming Kitten dapat meminta data dari Google Takeout, layanan yang memungkinkan pengguna mengekspor data dari akun Google mereka untuk mencadangkannya atau menggunakannya dengan layanan pihak ketiga.

Saat dijalankan, Hyperscraper berkomunikasi dengan server command and control (C2) menunggu konfirmasi untuk memulai proses exfiltrasi. Operator dapat mengonfigurasi alat dengan parameter yang diperlukan (mode operasi, jalur ke file cookie yang valid, string pengenal) dengan menggunakan argumen baris perintah atau melalui antarmuka pengguna minimal.

Jika jalur ke file cookie belum disediakan melalui baris perintah, operator dapat menarik dan melepasnya ke formulir baru. Setelah cookie berhasil diurai dan ditambahkan ke cache lokal browser web, Hyperscraper membuat folder "Unduh" tempat ia membuang konten kotak masuk target.

Para peneliti mencatat bahwa jika cookie tidak memberikan akses ke akun, operator dapat masuk secara manual. Hypercraper mengotomatiskan semua bagian akun email, membuka pesan dan mengunduhnya dalam format .EML, dan membiarkannya seperti semula.

“Jika pesan awalnya ditandai sebagai belum dibaca, alat Charming Kitten akan membiarkannya dalam keadaan yang sama setelah menyalinnya,” kata para peneliti.

Hyperscraper menyimpan semua email secara lokal, di mesin operator, bersama dengan log yang menunjukkan jumlah pesan yang dicuri dan tidak mengirim ke server C2 data selain status dan informasi sistem.

Di akhir, Hyperscraper menutupi jejaknya dengan menghapus email apa pun dari Google yang dapat memperingatkan korban tentang aktivitas pelaku ancaman (pemberitahuan keamanan, upaya masuk, akses ke aplikasi, ketersediaan arsip data).

Target Charming Kitten di mana Hyperscraper digunakan telah diberitahukan melalui peringatan tentang serangan yang didukung pemerintah. Pengguna yang menerima peringatan seperti itu didorong untuk memperkuat pertahanan mereka terhadap penyerang yang lebih canggih dengan mendaftar di Program Perlindungan Lanjutan (AAP) Google dan dengan mengaktifkan fitur Penjelajahan Aman yang Disempurnakan, keduanya memberikan lapisan keamanan tambahan pada mekanisme perlindungan yang ada.

Laporan Google TAG tentang Hyperscraper hari ini membagikan indikator kompromi seperti dua server C2 dan hash untuk binari alat yang ditemukan.