Google TAG发现一款工具 可下载Gmail等平台的完整收件箱内容

有国家背景的持续性威胁组织似乎正在使用 HYPERSCAPE 来提取收件箱中的所有电子邮件，而 Google 设法获得了该工具的一个版本。该团队目前正模拟这款工具，以观察它的破坏力。

Google 表示 HYPERSCAPE 可以在攻击者的终端上工作。换句话说，受害者不必被诱骗下载任何恶意软件，来让该工具完成其工作。但是，攻击者确实需要访问帐户凭据或受害者的会话 cookie。攻击者首先需要成功登录受害者的帐户，然后才能部署该工具。

似乎该工具欺骗了目标电子邮件服务，使其认为它是通过过时的浏览器访问的。为确保功能可靠，电子邮件服务会切换到基本 HTML 视图。此视图虽然在功能上会有限制，但电子邮件可正常访问。

一旦该工具强制电子邮件服务切换到基本的 HTML 视图，它就会将收件箱的语言更改为英语。此后，HYPERSCAPE 变成了一种抓取工具。它开始一一打开电子邮件并将它们下载为 .eml 格式。

为了逃避检测，HYPERSCAPE 确保以前未读的电子邮件继续标记为未读。成功下载所有电子邮件后，该工具会删除所有警告电子邮件，将语言恢复为原始状态，然后消失。

目前，HYPERSCAPE 似乎针对的是位于伊朗的账户。但是，其他威胁团体很可能会获得该工具。