Les pirates ont trouvé un moyen d’accéder aux boîtes de réception Gmail, Outlook et Yahoo
Des pirates informatiques parrainés par l'État iranien ont découvert des moyens d'infiltrer les boîtes de réception Gmail, Yahoo et Outlook d'au moins deux douzaines d'utilisateurs de haut niveau et de télécharger leur contenu, selon un rapport du Google Threat Analysis Group (TAG).
Le groupe soutenu par le gouvernement connu sous le nom de Charming Kitten a initialement développé un outil de piratage appelé Hyperscape en 2020 et l'a utilisé pour orchestrer les récentes cyberattaques. TAG a pu mettre la main sur une version de cet outil d'analyse, a rapporté TechRadar .
Google a expliqué que l'attaque fonctionne de manière furtive où il n'y a pas de rituel de piratage typique, comme inciter un utilisateur à télécharger des logiciels malveillants. Au lieu de cela, les pirates contrôlent l'outil de leur côté, profitant des vulnérabilités, telles que les informations d'identification de compte compromises ou les cookies de session volés, afin d'accéder à un compte.
Bien que cette cyberattaque particulière ait pu être politiquement motivée, Google est clairement intéressé par la manière dont ces vulnérabilités pourraient être utilisées par d'autres à l'avenir.
Un rapport récent de Sophos explique en quoi le vol de cookies fait partie des dernières tendances en matière de cybercriminalité. Les pirates utilisent cette méthode pour contourner les mesures de sécurité telles que l'authentification multifacteur et accéder aux bases de données privées.
Dans ce cas, une fois connectés au compte de messagerie, les pirates utilisent l'outil pour tromper le service de messagerie en lui faisant croire qu'un navigateur est obsolète, ce qui le fait ensuite basculer vers une vue HTML de base. Ensuite, il change la langue de la boîte de réception en anglais et ouvre les e-mails individuellement pour commencer à les télécharger au format .eml. Les pirates marquent ensuite tous les e-mails ouverts comme non lus et suppriment tous les e-mails d'avertissement, redéfinissent la boîte de réception dans sa langue d'origine et quittent.
Malgré son exécution apparemment fluide, Google a beaucoup appris sur les cyberattaques et a notifié tous les comptes connus qui ont été touchés par ses avertissements d'attaquants soutenus par le gouvernement. TAG a déchiffré que l'outil a été écrit en .NET pour les PC Windows et a noté que les attaques pouvaient fonctionner différemment dans les boîtes de réception Yahoo et Outlook. Pour le moment, le groupe de sécurité n'a testé l'outil que dans Gmail.