بدافزار HYPERSCRAPE
بدافزار HYPERSCRAPE یک تهدید دزد اطلاعات است که به فعالیت های گروه APT (تهدید دائمی پیشرفته) که به عنوان بچه گربه جذاب (APT35 ) ردیابی می شود، مرتبط است. اعتقاد بر این است که بچه گربه جذاب توسط دولت ایران حمایت می شود. در مورد HYPERSCRAPE، این تهدیدی است که در دات نت برای رایانه های شخصی ویندوز نوشته شده است و هدف اصلی آن جمع آوری اطلاعات از جیمیل قربانی، Yahoo! و حساب های Microsoft Outlook. جزئیات مربوط به HYPERSCRAPE و رفتار آن در گزارشی توسط گروه تحلیل تهدیدات گوگل (TAG) منتشر شد. محققان همچنین اعلام کردند که حدود 12 قربانی تهدید واقع در ایران شناسایی شده اند.
HYPERSCRAPE برای انجام عملکردهای تهدیدآمیز خود به اعتبار ورود به حساب کاربری خاص نیاز دارد که قبلاً توسط عوامل تهدید به خطر افتاده و به دست آمده باشد. هنگامی که این تهدید موفق شد با موفقیت به حساب قربانی دسترسی پیدا کند، اولین اقدام تهدید این است که زبان فعلی را بررسی کرده و در صورت لزوم آن را به انگلیسی تغییر دهید. سپس HYPERSCRAPE شروع به تکرار از طریق برگه های مختلف صندوق ورودی می کند و به دنبال ایمیل هایی برای دانلود می گردد. هر زمان که چنین ایمیلی پیدا شود، تهدید کلیک می کند تا قبل از شروع دانلود، آن را باز کند. HYPERSCRAPE برای پنهان کردن اعمال خود، ایمیلهای خوانده نشده اولیه را به حالت اولیه برمیگرداند. این بدافزار همچنین میتواند هر ایمیل امنیتی دریافتی از Google را حذف کند.
ایمیلهای دانلود شده در فهرست «دانلودها» بهعنوان فایلهایی با پسوند «.eml» ذخیره میشوند. یک برگه ثبت گزارش روی تعداد کل ایمیل های دانلود شده نیز ایجاد می شود. هنگامی که اجرای فعلی آن به پایان می رسد، تهدید یک درخواست HTTP POST به سرور Command-and-Control (C2, C&C) خود می کند و اطلاعات وضعیت و سیستم را ارسال می کند اما ایمیل های دانلود شده را ارسال نمی کند.
HYPERSCRAPE یک تهدید بدافزار جدید است که بر روی دستگاه مهاجم اجرا می شود. علاوه بر این، هنوز در حال توسعه فعال است و عملکرد و مجموعه ویژگی های آن می تواند در آینده گسترش یا تغییر یابد. به هر حال، نسخههای قبلی این تهدید میتوانستند اطلاعات را از Google Takeout درخواست کنند، اما هکرها به دلایل نامعلومی این قابلیت را حذف کردند.