Threat Database Malware HYPERSCRAPE Malware

HYPERSCRAPE Malware

HYPERSCRAPE मालवेयर एक सूचना-चोरी करने वाला खतरा है जो APT (एडवांस पर्सिस्टेंट थ्रेट) समूह की गतिविधियों से जुड़ा है जिसे चार्मिंग किटन (APT35 ) के रूप में ट्रैक किया गया है। माना जाता है कि आकर्षक बिल्ली का बच्चा ईरानी सरकार द्वारा समर्थित है। जहां तक हाइपरस्क्रैप का संबंध है, यह विंडोज पीसी के लिए .NET में लिखा गया एक खतरा है और इसका प्राथमिक लक्ष्य पीड़ित के जीमेल, याहू! और माइक्रोसॉफ्ट आउटलुक खाते। HYPERSCRAPE और इसके व्यवहार के बारे में विवरण Google के थ्रेट एनालिसिस ग्रुप (TAG) की एक रिपोर्ट में जारी किया गया था। शोधकर्ताओं ने यह भी कहा कि ईरान में स्थित खतरे के लगभग एक दर्जन पीड़ितों की पहचान की गई है।

अपने खतरनाक कार्यों को करने के लिए, HYPERSCRAPE को विशिष्ट खाते के लिए लॉगिन क्रेडेंशियल की आवश्यकता होती है, जो पहले से ही समझौता कर चुके हैं और खतरे वाले अभिनेताओं द्वारा प्राप्त किए गए हैं। एक बार जब यह पीड़ित के खाते को सफलतापूर्वक एक्सेस करने में कामयाब हो जाता है, तो धमकी की पहली कार्रवाई वर्तमान भाषा की जांच करना और यदि आवश्यक हो तो इसे अंग्रेजी में बदलना है। HYPERSCRAPE तब इनबॉक्स के विभिन्न टैब के माध्यम से पुनरावृति करना शुरू कर देगा, डाउनलोड करने के लिए ईमेल की तलाश में। जब भी ऐसा कोई ईमेल मिलेगा, तो डाउनलोड शुरू करने से पहले खतरा उसे खोलने के लिए क्लिक करेगा। अपने कार्यों को छिपाने के लिए, HYPERSCRAPE किसी भी प्रारंभिक अपठित ईमेल को उनकी मूल स्थिति में लौटा देता है। मैलवेयर Google से प्राप्त किसी भी सुरक्षा ईमेल को भी हटा सकता है।

डाउनलोड किए गए ईमेल 'डाउनलोड' निर्देशिका में '.eml' एक्सटेंशन वाली फ़ाइलों के रूप में सहेजे जाते हैं। डाउनलोड किए गए ईमेल की कुल संख्या पर एक लॉग कीपिंग टैब भी बनाया गया है। जब इसका वर्तमान रन समाप्त हो जाता है, तो खतरा अपने कमांड-एंड-कंट्रोल (C2, C & C) सर्वर से HTTP POST अनुरोध करता है, स्थिति और सिस्टम की जानकारी प्रसारित करता है लेकिन डाउनलोड किए गए ईमेल नहीं।

HYPERSCRAPE एक नया मैलवेयर खतरा है जो हमलावर की मशीन पर चलाया जाता है। इसके अलावा, यह अभी भी सक्रिय विकास के अधीन है और इसकी कार्यक्षमता और सुविधाओं के सेट को भविष्य में विस्तारित या बदला जा सकता है। आखिरकार, खतरे के पुराने संस्करण Google Takeout से डेटा का अनुरोध करने में सक्षम थे, लेकिन हैकर्स ने अज्ञात कारणों से इस कार्यक्षमता को हटा दिया।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...