İran devlet destekli bilgisayar korsanlarının Gmail, Yahoo ve Outlook gelen kutularına erişebilmek için yeni bir araç geliştirdikleri belirtiliyor.

Bilgisayar korsanlarının bu sayede yüksek profilli kişilerin bilgilerine ulaşabildikleri iddia ediliyor.

HYPERSCAPE adlı araç gelen kutusundaki tüm mesajları kopyalayabiliyor Google’ın Tehdit Analizi Grubu’nun (TAG) yeni bir raporda korsanların HYPERSCAPE adlı aracı kullandıklarını belirtiliyor.

2020 yılında Charming Kitten olarak bilinen hükümet destekli grup tarafından inşa edilen HYPERSCAPE, oldukça tehlikeli olarak yorumlanıyor.

Bu sistemin çalışabilmesi için ise kullanıcıların hesap kimlik bilgilerinin ele geçirilmesi veya oturum çerezlerinin çalınması gerekiyor.

Bu bilgilere ulaşıldığında ise araç, e-posta hizmet programını eski bir tarayıcı aracılığıyla erişildiğini yönünde kandıracak, temel HTML görünümüne geçmesini sağlıyor.

Bu adımdan sonra dili İngilizce olarak değiştiren araç, e-postaları tek tek açıp, ‘.eml’ formatında indirmeye geçiyor.

Saldırıdan önce okunmamış olarak işaretlenen e-posta mesajları, daha sonra da yine okunmamış olarak işaretlenerek kullanıcının şüphe etmemesi sağlanırken, tüm uyarı e-postalarını da silmeyi ihmal etmiyor. Bu sistam daha sornasında ise dili orijinal durumuna geri döndürerek ortadan kayboluyor.

Görünüşe göre bu araç şimdiye kadar tamamı İran’da bulunan birkaç hesap üzerinde kullanılmış durumda. Google, Devlet Destekli Saldırgan Uyarıları aracılığıyla kullanıcılarının hepsini bilgilendirdiğini açıkladı. TAG, aracın Windows PC’ler için .NET’te yazıldığını ve Gmail ile test edildiğini belirtirken, Microsoft ve Yahoo için farklılık gösterebileceği konusunda uyarıyor.

HYPERSCAPE’in önceki sürümleri, kullanıcıların verilerini indirilebilir bir arşiv dosyasına aktarmasına olanak tanıyan bir özellik olan Google Takeout’tan veri talep etmesini de sağlıyordu.

Aracın en son sürümünde ise bu özellik mevcut görünmüyor.