Threat Database Malware HYPERSCRAPE Malware

HYPERSCRAPE Malware

HYPERSCRAPE Malware este o amenințare de furt de informații conectată la activitățile grupului APT (Advanced Persistent Threat) urmărit ca Charming Kitten (APT35 ). Se crede că Charming Kitten este susținut de guvernul iranian. În ceea ce privește HYPERSCRAPE, este o amenințare scrisă în .NET pentru computerele Windows și scopul său principal este de a colecta informații de la Gmail-ul victimei, Yahoo! și conturi Microsoft Outlook. Detalii despre HYPERSCRAPE și comportamentul său au fost publicate într-un raport al Grupului de analiză a amenințărilor (TAG) de la Google. Cercetătorii au mai afirmat că au fost identificate aproximativ o duzină de victime ale amenințării localizate în Iran.

Pentru a-și îndeplini funcțiile amenințătoare, HYPERSCRAPE necesită ca acreditările de conectare pentru contul specific să fi fost deja compromise și obținute de către actorii amenințărilor. Odată ce a reușit să acceseze cu succes contul victimei, prima acțiune a amenințării este să verifice limba curentă și să o schimbe în engleză, dacă este necesar. HYPERSCRAPE va începe apoi să parcurgă diferite file ale căsuței de e-mail, căutând e-mailuri de descărcat. Ori de câte ori este găsit un astfel de e-mail, amenințarea va face clic pentru a-l deschide înainte de a începe o descărcare. Pentru a-și masca acțiunile, HYPERSCRAPE readuce toate e-mailurile necitite inițial la starea lor inițială. De asemenea, programul malware poate șterge orice e-mail de securitate primit de la Google.

E-mailurile descărcate sunt salvate în directorul „Descărcări” ca fișiere cu extensii „.eml”. De asemenea, este creat un jurnal care ține evidența numărului total de e-mailuri descărcate. Când rularea curentă se termină, amenințarea trimite o solicitare HTTP POST către serverul său de comandă și control (C2, C&C), transmițând informații despre stare și sistem, dar nu e-mailurile descărcate.

HYPERSCRAPE este o nouă amenințare malware care este rulată pe computerul atacatorului. Mai mult, este încă în dezvoltare activă, iar funcționalitatea și setul de caracteristici ar putea fi extinse sau modificate în viitor. La urma urmei, versiunile anterioare ale amenințării au putut solicita date de la Google Takeout, dar hackerii au eliminat această funcționalitate din motive necunoscute.

Trending

Cele mai văzute

Se încarcă...