Threat Database Malware HYPERSCRAPE Pahavara

HYPERSCRAPE Pahavara

Pahavara HYPERSCRAPE on teabevarastav oht, mis on seotud APT (Advanced Persistent Threat) grupi tegevusega, mida jälgitakse kui Charming Kitten (APT35 ). Arvatakse, et võluvat kassipoega toetab Iraani valitsus. Mis puutub HYPERSCRAPE-i, siis see on .NET-is kirjutatud oht Windowsi personaalarvutitele ja selle esmane eesmärk on koguda teavet ohvri Gmailist, Yahoo! ja Microsoft Outlooki kontod. Üksikasjad HYPERSCRAPE'i ja selle käitumise kohta avaldati Google'i ohuanalüüsirühma (TAG) aruandes. Teadlased väitsid ka, et on tuvastatud kümmekond Iraanis aset leidnud ohu ohvrit.

Oma ähvardavate funktsioonide täitmiseks nõuab HYPERSCRAPE, et konkreetse konto sisselogimismandaadid oleksid ohus osalejad juba rikutud ja nende kätte saanud. Kui ohvri kontole on õnnestunud pääseda, on ähvarduse esimeseks tegevuseks hetkekeele kontrollimine ja vajadusel inglise keele üleminek. Seejärel hakkab HYPERSCRAPE postkasti erinevatel vahekaartidel kordama, otsides allalaadimiseks e-kirju. Kui selline meilisõnum leitakse, klõpsab oht selle avamiseks enne allalaadimise alustamist. Oma toimingute maskeerimiseks tagastab HYPERSCRAPE kõik algselt lugemata kirjad nende algolekusse. Pahavara võib kustutada ka kõik Google'ilt saadud turvameilid.

Allalaaditud meilid salvestatakse kataloogi „Allalaadimised” failidena laiendiga „.eml”. Samuti luuakse logi pidamise sakid allalaaditud meilide koguarvu kohta. Kui selle praegune käitamine on lõppenud, teeb oht HTTP POST-päringu oma Command-and-Control (C2, C&C) serverile, edastades oleku ja süsteemiteabe, kuid mitte allalaaditud e-kirju.

HYPERSCRAPE on uudne pahavaraoht, mida käivitatakse ründaja masinas. Lisaks on see endiselt aktiivne arendustöö ning selle funktsionaalsust ja funktsioonide komplekti saab tulevikus laiendada või muuta. Lõppude lõpuks said ohu varasemad versioonid Google Takeoutilt andmeid küsida, kuid häkkerid eemaldasid selle funktsiooni teadmata põhjustel.

Trendikas

Enim vaadatud

Laadimine...