Threat Database Malware HYPERSCRAPE ļaunprātīga programmatūra

HYPERSCRAPE ļaunprātīga programmatūra

Ļaunprogrammatūra HYPERSCRAPE ir informācijas zagšanas drauds, kas saistīts ar APT (Advanced Persistent Threat) grupas darbībām, kas tiek izsekota kā Charming Kitten (APT35 ). Tiek uzskatīts, ka burvīgo kaķēnu atbalsta Irānas valdība. Kas attiecas uz HYPERSCRAPE, tas ir .NET rakstīts drauds Windows datoriem, un tā galvenais mērķis ir vākt informāciju no upura Gmail, Yahoo! un Microsoft Outlook konti. Sīkāka informācija par HYPERSCRAPE un tās uzvedību tika publicēta Google draudu analīzes grupas (TAG) ziņojumā. Pētnieki arī norādīja, ka ir identificēti aptuveni desmiti Irānā esošo draudu upuru.

Lai veiktu draudošās funkcijas, HYPERSCRAPE pieprasa, lai konkrētā konta pieteikšanās akreditācijas dati jau būtu apdraudēti un tos ieguvuši apdraudējuma dalībnieki. Kad ir izdevies veiksmīgi piekļūt upura kontam, draudu pirmā darbība ir pārbaudīt pašreizējo valodu un nepieciešamības gadījumā pārslēgt to uz angļu valodu. Pēc tam HYPERSCRAPE sāks atkārtot dažādas iesūtnes cilnes, meklējot lejupielādējamos e-pasta ziņojumus. Ikreiz, kad tiek atrasts šāds e-pasta ziņojums, draudi noklikšķinās, lai to atvērtu pirms lejupielādes sākšanas. Lai maskētu savas darbības, HYPERSCRAPE atgriež visus sākotnēji nelasītos e-pastus to sākotnējā stāvoklī. Ļaunprātīga programmatūra var arī izdzēst visus drošības e-pasta ziņojumus, kas saņemti no Google.

Lejupielādētie e-pasta ziņojumi tiek saglabāti direktorijā Lejupielādes kā faili ar paplašinājumu .eml. Tiek izveidots arī žurnāls, kurā tiek reģistrēts kopējais lejupielādēto e-pasta ziņojumu skaits. Kad tā pašreizējā darbība ir pabeigta, draudi veic HTTP POST pieprasījumu savam Command-and-Control (C2, C&C) serverim, pārsūtot statusu un sistēmas informāciju, bet ne lejupielādētos e-pasta ziņojumus.

HYPERSCRAPE ir jauns ļaunprātīgas programmatūras drauds, kas tiek palaists uzbrucēja datorā. Turklāt tas joprojām tiek aktīvi izstrādāts, un tā funkcionalitāte un funkciju kopums nākotnē varētu tikt paplašināts vai mainīts. Galu galā iepriekšējās draudu versijas varēja pieprasīt datus no Google Takeout, taču hakeri nezināmu iemeslu dēļ noņēma šo funkcionalitāti.

Tendences

Visvairāk skatīts

Notiek ielāde...