Threat Database Malware HYPERSCRAPE Malware

HYPERSCRAPE Malware

De HYPERSCRAPE-malware is een informatie-stealer-dreiging die verband houdt met de activiteiten van de APT-groep (Advanced Persistent Threat) die wordt gevolgd als Charming Kitten (APT35 ). Charming Kitten wordt verondersteld te worden gesteund door de Iraanse regering. Wat betreft HYPERSCRAPE, het is een bedreiging geschreven in .NET voor Windows-pc's en het primaire doel is om informatie te verzamelen van de Gmail van het slachtoffer, Yahoo! en Microsoft Outlook-accounts. Details over HYPERSCRAPE en het gedrag ervan werden vrijgegeven in een rapport van de Threat Analysis Group (TAG) van Google. De onderzoekers verklaarden ook dat ongeveer een dozijn slachtoffers van de dreiging in Iran zijn geïdentificeerd.

Om zijn bedreigende functies uit te voeren, vereist HYPERSCRAPE dat de inloggegevens voor het specifieke account al zijn gecompromitteerd en verkregen door de bedreigingsactoren. Zodra het erin is geslaagd om toegang te krijgen tot het account van het slachtoffer, is de eerste actie van de dreiging om de huidige taal te controleren en indien nodig over te schakelen naar het Engels. HYPERSCRAPE begint dan door verschillende tabbladen van de inbox te bladeren, op zoek naar e-mails om te downloaden. Telkens wanneer een dergelijke e-mail wordt gevonden, klikt de dreiging om deze te openen voordat een download wordt gestart. Om zijn acties te maskeren, zet HYPERSCRAPE alle aanvankelijk ongelezen e-mails terug in hun oorspronkelijke staat. De malware kan ook alle beveiligings-e-mails verwijderen die van Google zijn ontvangen.

Gedownloade e-mails worden opgeslagen in de map 'Downloads' als bestanden met de extensie '.eml'. Er wordt ook een logboek gemaakt dat het totale aantal gedownloade e-mails bijhoudt. Wanneer de huidige uitvoering is voltooid, doet de dreiging een HTTP POST-verzoek naar zijn Command-and-Control (C2, C&C)-server, waarbij status- en systeeminformatie wordt verzonden, maar niet de gedownloade e-mails.

HYPERSCRAPE is een nieuwe malwarebedreiging die op de computer van de aanvaller wordt uitgevoerd. Bovendien is het nog steeds in actieve ontwikkeling en kunnen de functionaliteit en reeks functies in de toekomst worden uitgebreid of gewijzigd. Eerdere versies van de dreiging konden immers gegevens opvragen bij Google Takeout, maar de hackers hebben deze functionaliteit om onbekende redenen verwijderd.

Trending

Meest bekeken

Bezig met laden...