Threat Database Malware תוכנה זדונית HYPERSCRAPE

תוכנה זדונית HYPERSCRAPE

תוכנת ה-HYPERSCRAPE Malware היא איום של גניבת מידע הקשור לפעילויות של קבוצת APT (Advanced Persistent Threat) המלווה כ-Charming Kitten (APT35 ). מאמינים כי החתלתול המקסים נתמך על ידי ממשלת איראן. לגבי HYPERSCRAPE, מדובר באיום שנכתב ב-.NET עבור מחשבי Windows ומטרתו העיקרית היא לאסוף מידע מה-Gmail של הקורבן, Yahoo! וחשבונות Microsoft Outlook. פרטים על HYPERSCRAPE והתנהגותו פורסמו בדו"ח של קבוצת האיומים של גוגל (TAG). החוקרים גם ציינו כי זוהו כתריסר קורבנות האיום הממוקמים באיראן.

כדי לבצע את הפונקציות המאיימות שלו, HYPERSCRAPE דורש שאישורי הכניסה לחשבון הספציפי כבר נפגעו והושגו על ידי גורמי האיום. לאחר שהוא הצליח לגשת בהצלחה לחשבון של הקורבן, הפעולה הראשונה של האיום היא לבדוק את השפה הנוכחית ולהעביר אותה לאנגלית, במידת הצורך. HYPERSCRAPE יתחיל לעבור דרך לשוניות שונות בתיבת הדואר הנכנס, בחיפוש אחר הודעות דוא"ל להורדה. בכל פעם שנמצא אימייל כזה, האיום ילחץ כדי לפתוח אותו לפני תחילת ההורדה. כדי להסוות את פעולותיו, HYPERSCRAPE מחזירה כל אימייל שלא נקרא בתחילה למצבם המקורי. התוכנה הזדונית יכולה גם למחוק הודעות דוא"ל אבטחה שהתקבלו מ-Google.

הודעות דוא"ל שהורדו נשמרות בספריית 'הורדות' כקבצים עם סיומות '.eml'. נוצר גם יומן השומר על הספירה הכוללת של הודעות אימייל שהורדו. כשהריצה הנוכחית שלו מסתיימת, האיום מבצע בקשת HTTP POST לשרת ה-Command-and-Control (C2, C&C) שלו, משדר סטטוס ומידע על המערכת אך לא את המיילים שהורדת.

HYPERSCRAPE הוא איום תוכנות זדוניות חדש המופעל על המחשב של התוקף. יתר על כן, הוא עדיין בפיתוח פעיל והפונקציונליות ומערכת התכונות שלו עשויות להיות מורחבות או לשנות בעתיד. אחרי הכל, גרסאות קודמות של האיום הצליחו לבקש נתונים מ-Google Takeout, אבל ההאקרים הסירו את הפונקציונליות הזו מסיבות לא ידועות.

מגמות

הכי נצפה

טוען...