Threat Database Malware HYPERSCRAPE Malware

HYPERSCRAPE Malware

Zlonamjerni softver HYPERSCRAPE prijetnja je kradljivac informacija povezana s aktivnostima grupe APT (Advanced Persistent Threat) koja se prati kao Charming Kitten (APT35 ). Vjeruje se da Charming Kitten podržava iranska vlada. Što se tiče HYPERSCRAPE-a, to je prijetnja napisana u .NET-u za Windows računala i primarni cilj joj je prikupljanje informacija sa žrtvinog Gmaila, Yahooa! i Microsoft Outlook račune. Pojedinosti o HYPERSCRAPE-u i njegovom ponašanju objavljeni su u izvješću Googleove Grupe za analizu prijetnji (TAG). Istraživači su također naveli da je identificirano oko desetak žrtava prijetnje koje se nalaze u Iranu.

Kako bi izvršio svoje prijeteće funkcije, HYPERSCRAPE zahtijeva da su vjerodajnice za prijavu za određeni račun već bile kompromitirane i da su ih dobili akteri prijetnje. Nakon što je uspjela uspješno pristupiti žrtvinom računu, prva radnja prijetnje je provjeriti trenutni jezik i prebaciti ga na engleski, ako je potrebno. HYPERSCRAPE će tada početi iterirati kroz različite kartice ulazne pošte, tražeći e-poruke za preuzimanje. Kad god se pronađe takva poruka e-pošte, prijetnja će kliknuti da je otvori prije početka preuzimanja. Kako bi prikrio svoje radnje, HYPERSCRAPE vraća sve prvobitno nepročitane poruke e-pošte u njihovo izvorno stanje. Zlonamjerni softver također može izbrisati sve sigurnosne poruke e-pošte primljene od Googlea.

Preuzete poruke e-pošte spremaju se u direktorij "Preuzimanja" kao datoteke s ekstenzijom ".eml". Također se stvara evidencija o ukupnom broju preuzetih poruka e-pošte. Kada se trenutno izvođenje završi, prijetnja šalje HTTP POST zahtjev svom Command-and-Control (C2, C&C) poslužitelju, prenoseći status i informacije o sustavu, ali ne i preuzetu e-poštu.

HYPERSCRAPE je nova prijetnja zlonamjernim softverom koja se pokreće na napadačevom računalu. Nadalje, još uvijek je u aktivnom razvoju te bi se njegove funkcionalnosti i skup značajki mogli proširiti ili promijeniti u budućnosti. Uostalom, ranije verzije prijetnje mogle su tražiti podatke s Google Takeouta, no hakeri su uklonili tu funkcionalnost iz nepoznatih razloga.

U trendu

Nagledanije

Učitavam...