Threat Database Malware HYPERSCRAPE Malware

HYPERSCRAPE Malware

HYPERSCRAPE Malware je hrozba kradoucí informace spojená s aktivitami skupiny APT (Advanced Persistent Threat) sledovaná jako Charming Kitten (APT35 ). Předpokládá se, že Charming Kitten je podporován íránskou vládou. Pokud jde o HYPERSCRAPE, jedná se o hrozbu napsanou v .NET pro Windows PC a jejím primárním cílem je shromažďovat informace z Gmailu oběti, Yahoo! a účty Microsoft Outlook. Podrobnosti o HYPERSCRAPE a jeho chování byly zveřejněny ve zprávě skupiny Google Threat Analysis Group (TAG). Výzkumníci také uvedli, že bylo identifikováno přibližně tucet obětí hrozby umístěné v Íránu.

Aby mohl HYPERSCRAPE plnit své ohrožující funkce, vyžaduje, aby přihlašovací údaje pro konkrétní účet již byly kompromitovány a získány aktéry hrozby. Jakmile se mu podaří úspěšně získat přístup k účtu oběti, první akcí hrozby je zkontrolovat aktuální jazyk a v případě potřeby jej přepnout na angličtinu. HYPERSCRAPE pak začne procházet různými kartami doručené pošty a hledat e-maily ke stažení. Kdykoli je takový e-mail nalezen, hrozba jej před zahájením stahování kliknutím otevře. Aby HYPERSCRAPE zamaskoval své akce, vrátí všechny původně nepřečtené e-maily do jejich původního stavu. Malware může také odstranit všechny bezpečnostní e-maily přijaté od Googlu.

Stažené e-maily se ukládají do adresáře 'Downloads' jako soubory s příponou '.eml'. Vytvoří se také protokol uchovávající karty o celkovém počtu stažených e-mailů. Po dokončení aktuálního běhu hrozba odešle požadavek HTTP POST na svůj server Command-and-Control (C2, C&C), přenese stavové a systémové informace, ale ne stažené e-maily.

HYPERSCRAPE je nová malwarová hrozba, která je spuštěna na útočníkově počítači. Navíc je stále v aktivním vývoji a jeho funkčnost a sada funkcí by mohla být v budoucnu rozšířena nebo změněna. Koneckonců, dřívější verze hrozby byly schopny vyžadovat data z Google Takeout, ale hackeři tuto funkci z neznámých důvodů odstranili.

Trendy

Nejvíce shlédnuto

Načítání...