HYPERSCRAPE Malware

Il malware HYPERSCRAPE è una minaccia di ladro di informazioni connessa alle attività del gruppo APT (Advanced Persistent Threat) tracciato come Charming Kitten (APT35 ). Si ritiene che Charming Kitten sia sostenuto dal governo iraniano. Quanto a HYPERSCRAPE, è una minaccia scritta in .NET per PC Windows e il suo obiettivo principale è raccogliere informazioni da Gmail della vittima, Yahoo! e account Microsoft Outlook. I dettagli su HYPERSCRAPE e il suo comportamento sono stati pubblicati in un rapporto del Threat Analysis Group (TAG) di Google. I ricercatori hanno anche affermato che sono state identificate circa una dozzina di vittime della minaccia situate in Iran.

Per svolgere le sue funzioni minacciose, HYPERSCRAPE richiede che le credenziali di accesso per l'account specifico siano già state compromesse e ottenute dagli attori delle minacce. Una volta che è riuscita ad accedere con successo all'account della vittima, la prima azione della minaccia è controllare la lingua corrente e cambiarla in inglese, se necessario. HYPERSCRAPE inizierà quindi a scorrere le diverse schede della posta in arrivo, alla ricerca di e-mail da scaricare. Ogni volta che viene trovata un'e-mail di questo tipo, la minaccia farà clic per aprirla prima di avviare un download. Per mascherare le sue azioni, HYPERSCRAPE riporta tutte le e-mail inizialmente non lette al loro stato originale. Il malware può anche eliminare tutte le email di sicurezza ricevute da Google.

Le email scaricate vengono salvate nella directory 'Download' come file con estensione '.eml'. Viene anche creato un registro che tiene sotto controllo il conteggio totale delle e-mail scaricate. Al termine dell'esecuzione corrente, la minaccia invia una richiesta HTTP POST al server Command-and-Control (C2, C&C), trasmettendo informazioni sullo stato e sul sistema, ma non le e-mail scaricate.

HYPERSCRAPE è una nuova minaccia malware che viene eseguita sulla macchina dell'attaccante. Inoltre, è ancora in fase di sviluppo attivo e le sue funzionalità e il set di funzionalità potrebbero essere ampliati o modificati in futuro. Dopotutto, le versioni precedenti della minaccia erano in grado di richiedere dati da Google Takeout, ma gli hacker hanno rimosso questa funzionalità per ragioni sconosciute.