Threat Database Malware HYPERSCRAPE kenkėjiška programa

HYPERSCRAPE kenkėjiška programa

HYPERSCRAPE kenkėjiška programa yra informacijos vagystės grėsmė, susijusi su APT (Advanced Persistent Threat) grupės, stebimos kaip Charming Kitten (APT35 ), veikla. Manoma, kad žavųjį kačiuką remia Irano vyriausybė. Kalbant apie HYPERSCRAPE, tai yra grėsmė, parašyta .NET, skirta Windows kompiuteriams ir jos pagrindinis tikslas yra rinkti informaciją iš aukos Gmail, Yahoo! ir „Microsoft Outlook“ paskyros. Išsami informacija apie HYPERSCRAPE ir jo elgesį buvo paskelbta „Google“ grėsmių analizės grupės (TAG) ataskaitoje. Tyrėjai taip pat teigė, kad buvo nustatyta apie keliolika Irane esančių grėsmės aukų.

Kad galėtų atlikti savo grėsmingas funkcijas, HYPERSCRAPE reikalauja, kad konkrečios paskyros prisijungimo duomenys jau būtų pažeisti ir būtų gauti grėsmės veikėjų. Kai pavyksta sėkmingai pasiekti aukos paskyrą, pirmasis grasinimo veiksmas yra patikrinti esamą kalbą ir, jei reikia, pakeisti ją į anglų kalbą. Tada HYPERSCRAPE pradės kartoti skirtingus gautųjų skirtukus, ieškodama el. laiškų, kuriuos būtų galima atsisiųsti. Kai tik randamas toks el. laiškas, grėsmė jį spustelėja, kad jį atidarytų prieš pradedant atsisiuntimą. Norėdami užmaskuoti savo veiksmus, HYPERSCRAPE grąžina visus iš pradžių neskaitytus el. laiškus į pradinę būseną. Kenkėjiška programa taip pat gali ištrinti visus iš „Google“ gautus saugos el. laiškus.

Atsisiųsti el. laiškai išsaugomi kataloge „Atsisiuntimai“ kaip failai su plėtiniais „.eml“. Taip pat sukuriamas žurnalas, kuriame rodomas bendras atsisiųstų el. laiškų skaičius. Baigus dabartinį paleidimą, grėsmė pateikia HTTP POST užklausą savo komandų ir valdymo (C2, C&C) serveriui, perduodama būseną ir sistemos informaciją, bet ne atsisiųstus el. laiškus.

HYPERSCRAPE yra nauja kenkėjiškų programų grėsmė, kuri paleidžiama užpuoliko kompiuteryje. Be to, jis vis dar aktyviai kuriamas, o jo funkcionalumas ir funkcijų rinkinys ateityje gali būti plečiamas arba keičiamas. Galų gale, ankstesnės grėsmės versijos galėjo prašyti duomenų iš „Google Takeout“, tačiau įsilaužėliai dėl nežinomų priežasčių pašalino šią funkciją.

Tendencijos

Labiausiai žiūrima

Įkeliama...