HYPERSCRAPE Malware
O HYPERSCRAPE Malware é uma ameaça de roubo de informações conectada às atividades do grupo APT (Advanced Persistent Threat) rastreado como Charming Kitten (APT35). Acredita-se que Charming Kitten seja apoiado pelo governo iraniano. Quanto ao HYPERSCRAPE, é uma ameaça escrita em .NET para PCs com Windows e seu principal objetivo é coletar informações do Gmail, Yahoo! e contas do Microsoft Outlook. Detalhes sobre o HYPERSCRAPE e seu comportamento foram divulgados em um relatório do Grupo de Análise de Ameaças (TAG) do Google. Os pesquisadores também afirmaram que cerca de uma dúzia de vítimas da ameaça localizada no Irã foram identificadas.
Para executar suas funções ameaçadoras, o HYPERSCRAPE exige que as credenciais de login da conta específica já tenham sido comprometidas e obtidas pelos agentes da ameaça. Depois de conseguir acessar com sucesso a conta da vítima, a primeira ação da ameaça é verificar o idioma atual e alterná-lo para o inglês, se necessário. O HYPERSCRAPE começará então a percorrer diferentes guias da caixa de entrada, procurando e-mails para download. Sempre que um e-mail desse tipo for encontrado, a ameaça clicará para abri-lo antes de iniciar um download. Para mascarar suas ações, o HYPERSCRAPE retorna todos os emails inicialmente não lidos ao seu estado original. O malware também pode excluir todos os e-mails de segurança recebidos do Google.
Os e-mails baixados são salvos no diretório 'Downloads' como arquivos com extensões '.eml'. Também é criado um registro que mantém abas na contagem total de e-mails baixados. Quando sua execução atual é concluída, a ameaça faz uma solicitação HTTP POST para seu servidor de Comando e Controle (C2, C&C), transmitindo status e informações do sistema, mas não os e-mails baixados.
HYPERSCRAPE é uma nova ameaça de malware que é executada na máquina do invasor. Além disso, ainda está em desenvolvimento ativo e sua funcionalidade e conjunto de recursos podem ser expandidos ou alterados no futuro. Afinal, as versões anteriores da ameaça podiam solicitar dados do Google Takeout, mas os hackers removeram essa funcionalidade por motivos desconhecidos.
