HYPERSCRAPE Złośliwe oprogramowanie

HYPERSCRAPE Malware to zagrożenie kradzieży informacji związane z działalnością grupy APT (Advanced Persistent Threat) śledzonej jako Charming Kitten (APT35 ). Uważa się, że Charming Kitten jest wspierany przez rząd irański. Jeśli chodzi o HYPERSCRAPE, jest to zagrożenie napisane w .NET dla komputerów z systemem Windows, a jego głównym celem jest zbieranie informacji z Gmaila, Yahoo! ofiary! i konta Microsoft Outlook. Szczegółowe informacje o HYPERSCRAPE i jego zachowaniu zostały opublikowane w raporcie Google Threat Analysis Group (TAG). Badacze stwierdzili również, że zidentyfikowano kilkanaście ofiar zagrożenia zlokalizowanego w Iranie.

Aby wykonać groźne funkcje, HYPERSCRAPE wymaga, aby dane logowania do konkretnego konta zostały już naruszone i uzyskane przez cyberprzestępców. Po udanym uzyskaniu dostępu do konta ofiary pierwszym działaniem zagrożenia jest sprawdzenie bieżącego języka i w razie potrzeby przełączenie go na angielski. HYPERSCRAPE zacznie następnie przeglądać różne zakładki skrzynki odbiorczej w poszukiwaniu wiadomości e-mail do pobrania. Za każdym razem, gdy taki e-mail zostanie znaleziony, zagrożenie kliknie, aby go otworzyć przed rozpoczęciem pobierania. Aby zamaskować swoje działania, funkcja HYPERSCRAPE przywraca początkowo nieprzeczytane wiadomości e-mail do ich pierwotnego stanu. Złośliwe oprogramowanie może również usuwać wszelkie wiadomości e-mail dotyczące bezpieczeństwa otrzymane od Google.

Pobrane wiadomości e-mail są zapisywane w katalogu „Pobrane” jako pliki z rozszerzeniem „.eml”. Tworzony jest również dziennik zawierający zakładki dotyczące łącznej liczby pobranych wiadomości e-mail. Po zakończeniu bieżącego uruchomienia zagrożenie wysyła żądanie HTTP POST do swojego serwera Command-and-Control (C2, C&C), przesyłając informacje o stanie i systemie, ale nie pobiera pobranych wiadomości e-mail.

HYPERSCRAPE to nowe zagrożenie złośliwym oprogramowaniem, które jest uruchamiane na komputerze atakującego. Co więcej, jest nadal aktywnie rozwijany, a jego funkcjonalność i zestaw funkcji może zostać rozszerzony lub zmieniony w przyszłości. W końcu wcześniejsze wersje zagrożenia mogły żądać danych z Google Takeout, ale hakerzy usunęli tę funkcjonalność z nieznanych powodów.