Threat Database Malware Зловреден софтуер HYPERSCRAPE

Зловреден софтуер HYPERSCRAPE

Зловредният софтуер HYPERSCRAPE е заплаха за крадец на информация, свързана с дейностите на групата APT (Advanced Persistent Threat), проследявана като Charming Kitten (APT35 ). Смята се, че Charming Kitten е подкрепен от иранското правителство. Що се отнася до HYPERSCRAPE, това е заплаха, написана на .NET за компютри с Windows и основната й цел е да събира информация от Gmail, Yahoo! и Microsoft Outlook акаунти. Подробности за HYPERSCRAPE и неговото поведение бяха публикувани в доклад от Threat Analysis Group (TAG) на Google. Изследователите също така заявиха, че са идентифицирани около дузина жертви на заплахата, разположена в Иран.

За да изпълнява своите заплашителни функции, HYPERSCRAPE изисква идентификационните данни за вход за конкретния акаунт вече да са били компрометирани и получени от участниците в заплахата. След като успее да влезе успешно в акаунта на жертвата, първото действие на заплахата е да провери текущия език и да го превключи на английски, ако е необходимо. След това HYPERSCRAPE ще започне да обикаля различни раздели на входящата кутия, търсейки имейли за изтегляне. Всеки път, когато бъде намерен такъв имейл, заплахата ще щракне, за да го отвори, преди да започне изтегляне. За да прикрие своите действия, HYPERSCRAPE връща всички първоначално непрочетени имейли в първоначалното им състояние. Злонамереният софтуер също може да изтрие всички имейли за сигурност, получени от Google.

Изтеглените имейли се записват в директорията „Изтегляния“ като файлове с разширения „.eml“. Създава се и раздел за водене на дневник за общия брой изтеглени имейли. Когато текущото изпълнение приключи, заплахата прави HTTP POST заявка към своя сървър за командване и управление (C2, C&C), предавайки информация за състоянието и системата, но не и изтеглените имейли.

HYPERSCRAPE е нова заплаха от зловреден софтуер, която се изпълнява на машината на атакуващия. Освен това, той все още е в процес на активно развитие и неговата функционалност и набор от функции могат да бъдат разширени или променени в бъдеще. В края на краищата по-ранните версии на заплахата можеха да изискват данни от Google Takeout, но хакерите премахнаха тази функционалност по неизвестни причини.

Тенденция

Най-гледан

Зареждане...