Threat Database Malware HYPERSCRAPE Malware

HYPERSCRAPE Malware

A HYPERSCRAPE Malware egy információlopó fenyegetés, amely a Charming Kitten (APT35 ) néven nyomon követett APT (Advanced Persistent Threat) csoport tevékenységéhez kapcsolódik. A bájos cicát vélhetően az iráni kormány támogatja. Ami a HYPERSCRAPE-t illeti, ez egy .NET-ben írt fenyegetés Windows PC-kre, és elsődleges célja, hogy információkat gyűjtsön az áldozat Gmail-jéből, a Yahoo! és Microsoft Outlook-fiókok. A HYPERSCRAPE-ról és viselkedéséről részleteket a Google fenyegetéselemző csoportja (TAG) közölt egy jelentésben. A kutatók azt is közölték, hogy a fenyegetés mintegy tucatnyi áldozatát azonosították Iránban.

A fenyegető funkcióinak végrehajtásához a HYPERSCRAPE megköveteli, hogy az adott fiók bejelentkezési adatait már feltörték és a fenyegetés szereplői megszerezték. Miután sikerült elérnie az áldozat fiókját, a fenyegetés első lépése az aktuális nyelv ellenőrzése, és szükség esetén angolra váltása. A HYPERSCRAPE ezután elkezdi a beérkező levelek különböző lapjain keresztül haladni, és keresi a letölthető e-maileket. Valahányszor ilyen e-mailt talál, a fenyegetés kattintással megnyitja azt a letöltés megkezdése előtt. A műveletek elfedése érdekében a HYPERSCRAPE minden eredetileg olvasatlan e-mailt visszaállít az eredeti állapotukba. A kártevő törölheti a Google-tól kapott biztonsági e-maileket is.

A letöltött e-maileket a rendszer a „Letöltések” könyvtárba menti „.eml” kiterjesztésű fájlokként. Létrejön egy napló, amely a letöltött e-mailek teljes számát rögzíti. Amikor az aktuális futás befejeződött, a fenyegetés HTTP POST kérést küld a Command-and-Control (C2, C&C) szerveréhez, továbbítva az állapot- és rendszerinformációkat, de a letöltött e-maileket nem.

A HYPERSCRAPE egy új rosszindulatú program, amely a támadó gépén fut. Továbbá még mindig aktív fejlesztés alatt áll, funkcionalitása és szolgáltatáskészlete a jövőben bővíthető vagy módosítható. A fenyegetés korábbi verziói ugyanis képesek voltak adatokat kérni a Google Takeouttól, de a hackerek ismeretlen okokból eltávolították ezt a funkciót.

Felkapott

Legnézettebb

Betöltés...