Threat Database Malware HYPERSCRAPE Skadelig programvare

HYPERSCRAPE Skadelig programvare

HYPERSCRAPE Malware er en info-tyver trussel knyttet til aktivitetene til APT (Advanced Persistent Threat)-gruppen sporet som Charming Kitten (APT35 ). Charming Kitten antas å være støttet av den iranske regjeringen. Når det gjelder HYPERSCRAPE, er det en trussel skrevet i .NET for Windows-PCer, og dens primære mål er å samle inn informasjon fra offerets Gmail, Yahoo! og Microsoft Outlook-kontoer. Detaljer om HYPERSCRAPE og dets oppførsel ble utgitt i en rapport fra Googles Threat Analysis Group (TAG). Forskerne uttalte også at rundt et dusin ofre for trusselen i Iran er identifisert.

For å utføre sine truende funksjoner, krever HYPERSCRAPE at påloggingslegitimasjonen for den spesifikke kontoen allerede er kompromittert og innhentet av trusselaktørene. Når den har klart å få tilgang til offerets konto, er trusselens første handling å sjekke gjeldende språk og bytte det til engelsk, om nødvendig. HYPERSCRAPE vil da begynne å iterere gjennom forskjellige faner i innboksen, på jakt etter e-poster å laste ned. Hver gang en slik e-post blir funnet, vil trusselen klikke for å åpne den før du starter en nedlasting. For å maskere handlingene, returnerer HYPERSCRAPE alle uleste e-poster til den opprinnelige tilstanden. Skadevaren kan også slette sikkerhetse-poster mottatt fra Google.

Nedlastede e-poster lagres i 'Nedlastinger'-katalogen som filer med '.eml'-utvidelser. Det opprettes også en logg som holder oversikt over det totale antallet nedlastede e-poster. Når den nåværende kjøringen er fullført, sender trusselen en HTTP POST-forespørsel til Command-and-Control-serveren (C2, C&C), og overfører status og systeminformasjon, men ikke de nedlastede e-postene.

HYPERSCRAPE er en ny malware-trussel som kjøres på angriperens maskin. Videre er den fortsatt under aktiv utvikling, og funksjonaliteten og settet med funksjoner kan utvides eller endres i fremtiden. Tross alt kunne tidligere versjoner av trusselen be om data fra Google Takeout, men hackerne fjernet denne funksjonaliteten av ukjente årsaker.

Trender

Mest sett

Laster inn...