មេរោគ HYPERSCRAPE
HYPERSCRAPE Malware គឺជាការគំរាមកំហែងអ្នកលួចព័ត៌មានដែលភ្ជាប់ទៅនឹងសកម្មភាពរបស់ក្រុម APT (Advanced Persistent Threat) ដែលត្រូវបានតាមដានជា Charming Kitten (APT35 )។ Charming Kitten ត្រូវបានគេជឿថាត្រូវបានគាំទ្រដោយរដ្ឋាភិបាលអ៊ីរ៉ង់។ សម្រាប់ HYPERSCRAPE វាគឺជាការគំរាមកំហែងដែលសរសេរនៅក្នុង .NET សម្រាប់កុំព្យូទ័រ Windows ហើយគោលដៅចម្បងរបស់វាគឺដើម្បីប្រមូលព័ត៌មានពី Gmail របស់ជនរងគ្រោះគឺ Yahoo! និងគណនី Microsoft Outlook ។ ព័ត៌មានលម្អិតអំពី HYPERSCRAPE និងអាកប្បកិរិយារបស់វាត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ដោយក្រុមវិភាគការគំរាមកំហែងរបស់ Google (TAG) ។ ក្រុមអ្នកស្រាវជ្រាវក៏បានបញ្ជាក់ដែរថា ជនរងគ្រោះប្រហែលរាប់សិបនាក់នៃការគម្រាមកំហែងដែលមានទីតាំងនៅប្រទេសអ៊ីរ៉ង់ត្រូវបានកំណត់អត្តសញ្ញាណ។
ដើម្បីអនុវត្តមុខងារគម្រាមកំហែងរបស់វា HYPERSCRAPE ទាមទារការចូលគណនីសម្រាប់គណនីជាក់លាក់ដែលត្រូវបានសម្របសម្រួល និងទទួលបានដោយអ្នកគំរាមកំហែងរួចហើយ។ នៅពេលដែលវាបានគ្រប់គ្រងដើម្បីចូលប្រើគណនីរបស់ជនរងគ្រោះដោយជោគជ័យ សកម្មភាពដំបូងនៃការគំរាមកំហែងគឺត្រូវពិនិត្យមើលភាសាបច្ចុប្បន្ន ហើយប្តូរវាទៅជាភាសាអង់គ្លេសប្រសិនបើចាំបាច់។ បន្ទាប់មក HYPERSCRAPE នឹងចាប់ផ្តើមម្តងទៀតតាមរយៈផ្ទាំងផ្សេងគ្នានៃប្រអប់ទទួល ដោយស្វែងរកអ៊ីមែលដើម្បីទាញយក។ នៅពេលណាដែលអ៊ីមែលបែបនេះត្រូវបានរកឃើញ ការគំរាមកំហែងនឹងចុចដើម្បីបើកវាមុនពេលចាប់ផ្តើមការទាញយក។ ដើម្បីបិទបាំងសកម្មភាពរបស់វា HYPERSCRAPE ត្រឡប់អ៊ីមែលដែលមិនទាន់បានអានពីដំបូងទៅសភាពដើមរបស់វា។ មេរោគក៏អាចលុបអ៊ីមែលសុវត្ថិភាពណាមួយដែលទទួលបានពី Google ផងដែរ។
អ៊ីមែលដែលបានទាញយកត្រូវបានរក្សាទុកក្នុងថត 'ទាញយក' ជាឯកសារដែលមានផ្នែកបន្ថែម '.eml' ។ ផ្ទាំងរក្សាទុកកំណត់ហេតុនៅលើចំនួនសរុបនៃអ៊ីមែលដែលបានទាញយកក៏ត្រូវបានបង្កើតផងដែរ។ នៅពេលដំណើរការបច្ចុប្បន្នរបស់វាបានបញ្ចប់ ការគំរាមកំហែងធ្វើឱ្យសំណើ HTTP POST ទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2, C&C) បញ្ជូនស្ថានភាព និងព័ត៌មានប្រព័ន្ធ ប៉ុន្តែមិនមែនអ៊ីមែលដែលបានទាញយកនោះទេ។
HYPERSCRAPE គឺជាការគំរាមកំហែងមេរោគប្រលោមលោកដែលដំណើរការនៅលើម៉ាស៊ីនរបស់អ្នកវាយប្រហារ។ លើសពីនេះ វានៅស្ថិតក្រោមការអភិវឌ្ឍសកម្ម ហើយមុខងារ និងសំណុំមុខងាររបស់វាអាចនឹងត្រូវបានពង្រីក ឬផ្លាស់ប្ដូរនៅពេលអនាគត។ យ៉ាងណាមិញ កំណែមុននៃការគំរាមកំហែងអាចស្នើសុំទិន្នន័យពី Google Takeout ប៉ុន្តែពួក Hacker បានដកមុខងារនេះចេញដោយមិនដឹងមូលហេតុ។