Threat Database Malware HYPERSCRAPE Malware

HYPERSCRAPE Malware

Malware HYPERSCRAPE ialah ancaman pencuri maklumat yang berkaitan dengan aktiviti kumpulan APT (Advanced Persistent Threat) yang dijejaki sebagai Charming Kitten (APT35 ). Charming Kitten dipercayai disokong oleh kerajaan Iran. Bagi HIPERSCRAPE, ia adalah ancaman yang ditulis dalam .NET untuk Windows PC dan matlamat utamanya adalah untuk mengumpul maklumat daripada Gmail mangsa, Yahoo! dan akaun Microsoft Outlook. Butiran tentang HYPERSCRAPE dan kelakuannya telah dikeluarkan dalam laporan oleh Kumpulan Analisis Ancaman (TAG) Google. Para penyelidik juga menyatakan bahawa sekitar sedozen mangsa ancaman yang terletak di Iran telah dikenal pasti.

Untuk melaksanakan fungsi mengancamnya, HYPERSCRAPE memerlukan bukti kelayakan log masuk untuk akaun tertentu telah dikompromi dan diperolehi oleh pelaku ancaman. Sebaik sahaja ia berjaya mengakses akaun mangsa, tindakan pertama ancaman ialah menyemak bahasa semasa dan menukarnya kepada bahasa Inggeris, jika perlu. HIPERSCRAPE kemudiannya akan mula berulang melalui tab peti masuk yang berbeza, mencari e-mel untuk dimuat turun. Setiap kali e-mel sedemikian ditemui, ancaman akan mengklik untuk membukanya sebelum memulakan muat turun. Untuk menutup tindakannya, HYPERSCRAPE mengembalikan mana-mana e-mel yang pada mulanya belum dibaca kepada keadaan asalnya. Malware juga boleh memadamkan sebarang e-mel keselamatan yang diterima daripada Google.

E-mel yang dimuat turun disimpan dalam direktori 'Muat Turun' sebagai fail dengan sambungan '.eml'. Tab menyimpan log pada jumlah kiraan e-mel yang dimuat turun juga dibuat. Apabila larian semasanya selesai, ancaman membuat permintaan HTTP POST kepada pelayan Perintah-dan-Kawalan (C2, C&C), menghantar status dan maklumat sistem tetapi bukan e-mel yang dimuat turun.

HIPERSCRAPE ialah ancaman perisian hasad baru yang dijalankan pada mesin penyerang. Tambahan pula, ia masih dalam pembangunan aktif dan fungsi serta set cirinya boleh dikembangkan atau diubah pada masa hadapan. Lagipun, versi ancaman terdahulu dapat meminta data daripada Google Takeout, tetapi penggodam mengalih keluar fungsi ini atas sebab yang tidak diketahui.

Trending

Paling banyak dilihat

Memuatkan...