Вредоносное ПО HYPERSCRAPE

Вредоносная программа HYPERSCRAPE представляет собой угрозу для кражи информации, связанную с деятельностью группы APT (Advanced Persistent Threat), отслеживаемой как Charming Kitten (APT35 ). Считается, что Charming Kitten пользуется поддержкой иранского правительства. Что касается HYPERSCRAPE, то это угроза, написанная на .NET для ПК с Windows, и ее основной целью является сбор информации из Gmail жертвы, Yahoo! и учетные записи Microsoft Outlook. Подробности о HYPERSCRAPE и его поведении были опубликованы в отчете группы анализа угроз Google (TAG). Исследователи также заявили, что идентифицировано около десятка жертв угрозы, находящейся в Иране.

Для выполнения своих угрожающих функций HYPERSCRAPE требует, чтобы учетные данные для входа в конкретную учетную запись уже были скомпрометированы и получены злоумышленниками. После того как ей удалось успешно получить доступ к учетной записи жертвы, первое действие угрозы — проверить текущий язык и при необходимости переключить его на английский. Затем HYPERSCRAPE начнет перебирать различные вкладки папки «Входящие» в поисках писем для загрузки. Всякий раз, когда такое электронное письмо будет найдено, угроза щелкнет, чтобы открыть его, прежде чем начать загрузку. Чтобы замаскировать свои действия, HYPERSCRAPE возвращает все изначально непрочитанные электронные письма в исходное состояние. Вредоносная программа также может удалять любые электронные письма безопасности, полученные от Google.

Загруженные электронные письма сохраняются в каталоге «Загрузки» в виде файлов с расширениями «.eml». Также создается журнал, в котором ведется учет общего количества загруженных писем. По завершении текущего запуска угроза отправляет HTTP-запрос POST на свой сервер управления и контроля (C2, C&C), передавая информацию о состоянии и системе, но не загруженные электронные письма.

HYPERSCRAPE — это новая угроза вредоносного ПО, которая запускается на компьютере злоумышленника. Кроме того, он все еще находится в активной разработке, и его функциональность и набор функций могут быть расширены или изменены в будущем. Ведь более ранние версии угрозы могли запрашивать данные у Google Takeout, но по неизвестным причинам хакеры убрали этот функционал.