Κακόβουλο λογισμικό HYPERSCRAPE

Το κακόβουλο λογισμικό HYPERSCRAPE είναι μια απειλή κλοπής πληροφοριών που συνδέεται με τις δραστηριότητες της ομάδας APT (Advanced Persistent Threat) που παρακολουθείται ως Charming Kitten (APT35 ). Το Charming Kitten πιστεύεται ότι υποστηρίζεται από την ιρανική κυβέρνηση. Όσο για το HYPERSCRAPE, είναι μια απειλή γραμμένη σε .NET για υπολογιστές με Windows και πρωταρχικός στόχος του είναι να συλλέγει πληροφορίες από το Gmail του θύματος, Yahoo! και λογαριασμούς Microsoft Outlook. Λεπτομέρειες σχετικά με το HYPERSCRAPE και τη συμπεριφορά του δημοσιεύθηκαν σε μια αναφορά από την Ομάδα Ανάλυσης Απειλών (TAG) της Google. Οι ερευνητές δήλωσαν επίσης ότι έχουν ταυτοποιηθεί περίπου δώδεκα θύματα της απειλής που εντοπίστηκε στο Ιράν.

Για να εκτελέσει τις απειλητικές λειτουργίες του, το HYPERSCRAPE απαιτεί τα διαπιστευτήρια σύνδεσης για τον συγκεκριμένο λογαριασμό να έχουν ήδη παραβιαστεί και να έχουν αποκτηθεί από τους φορείς απειλής. Μόλις καταφέρει να αποκτήσει επιτυχή πρόσβαση στον λογαριασμό του θύματος, η πρώτη ενέργεια της απειλής είναι να ελέγξει την τρέχουσα γλώσσα και να την αλλάξει στα Αγγλικά, εάν είναι απαραίτητο. Το HYPERSCRAPE θα αρχίσει στη συνέχεια να επαναλαμβάνει τις διάφορες καρτέλες των εισερχομένων, αναζητώντας μηνύματα ηλεκτρονικού ταχυδρομείου για λήψη. Κάθε φορά που εντοπίζεται ένα τέτοιο μήνυμα ηλεκτρονικού ταχυδρομείου, η απειλή θα κάνει κλικ για να το ανοίξει πριν ξεκινήσει η λήψη. Για να κρύψει τις ενέργειές του, το HYPERSCRAPE επιστρέφει τυχόν αρχικά μη αναγνωσμένα email στην αρχική τους κατάσταση. Το κακόβουλο λογισμικό μπορεί επίσης να διαγράψει τυχόν μηνύματα ηλεκτρονικού ταχυδρομείου ασφαλείας που λαμβάνονται από την Google.

Τα ληφθέντα email αποθηκεύονται στον κατάλογο "Λήψεις" ως αρχεία με επεκτάσεις ".eml". Δημιουργείται επίσης ένα αρχείο καταγραφής για τον συνολικό αριθμό των ληφθέντων email. Όταν ολοκληρωθεί η τρέχουσα εκτέλεση, η απειλή κάνει ένα αίτημα HTTP POST στον διακομιστή Command-and-Control (C2, C&C), μεταδίδοντας πληροφορίες κατάστασης και συστήματος αλλά όχι τα ληφθέντα email.

Το HYPERSCRAPE είναι μια νέα απειλή κακόβουλου λογισμικού που εκτελείται στον υπολογιστή του εισβολέα. Επιπλέον, είναι ακόμα υπό ενεργό ανάπτυξη και η λειτουργικότητα και το σύνολο των χαρακτηριστικών του θα μπορούσαν να επεκταθούν ή να αλλάξουν στο μέλλον. Εξάλλου, προηγούμενες εκδόσεις της απειλής μπορούσαν να ζητήσουν δεδομένα από το Google Takeout, αλλά οι χάκερ αφαίρεσαν αυτήν τη λειτουργία για άγνωστους λόγους.