Threat Database Malware Zlonamerna programska oprema HYPERSCRAPE

Zlonamerna programska oprema HYPERSCRAPE

Zlonamerna programska oprema HYPERSCRAPE je grožnja kraje informacij, povezana z dejavnostmi skupine APT (Advanced Persistent Threat), ki ji sledijo kot Charming Kitten (APT35 ). Charming Kitten naj bi podpirala iranska vlada. Kar zadeva HYPERSCRAPE, je to grožnja, napisana v .NET za osebne računalnike z operacijskim sistemom Windows, njen glavni cilj pa je zbiranje informacij iz žrtvinih Gmailov, Yahoo! in račune Microsoft Outlook. Podrobnosti o HYPERSCRAPE in njegovem vedenju so bile objavljene v poročilu Googlove skupine za analizo groženj (TAG). Raziskovalci so tudi navedli, da je bilo identificiranih okoli ducat žrtev grožnje v Iranu.

Za izvajanje svojih grozilnih funkcij HYPERSCRAPE zahteva, da so poverilnice za prijavo za določen račun že ogrožene in pridobljene s strani akterjev groženj. Ko ji uspe uspešno dostopati do računa žrtve, je prvo dejanje grožnje preveriti trenutni jezik in ga po potrebi preklopiti na angleščino. HYPERSCRAPE bo nato začel iterirati po različnih zavihkih mape »Prejeto« in iskal e-poštna sporočila za prenos. Kadar koli najde takšno e-poštno sporočilo, ga bo grožnja kliknila, da ga odpre, preden začne prenos. Da prikrije svoja dejanja, HYPERSCRAPE vrne vsa sprva neprebrana e-poštna sporočila v prvotno stanje. Zlonamerna programska oprema lahko tudi izbriše vsa varnostna e-poštna sporočila, ki jih prejme od Googla.

Prenesena e-poštna sporočila se shranijo v imenik »Prenosi« kot datoteke s končnico ».eml«. Ustvari se tudi zavihek za vodenje dnevnika o skupnem številu prenesenih e-poštnih sporočil. Ko je trenutni zagon končan, grožnja pošlje zahtevo HTTP POST svojemu strežniku za ukaze in nadzor (C2, C&C), pri čemer posreduje informacije o stanju in sistemu, ne pa prenesenih e-poštnih sporočil.

HYPERSCRAPE je nova grožnja zlonamerne programske opreme, ki se izvaja na napadalčevem računalniku. Poleg tega je še vedno v aktivnem razvoju, njegova funkcionalnost in nabor funkcij pa bi lahko v prihodnosti razširili ali spremenili. Navsezadnje so prejšnje različice grožnje lahko zahtevale podatke iz storitve Google Arhiviranje, vendar so hekerji to funkcijo odstranili iz neznanih razlogov.

V trendu

Najbolj gledan

Nalaganje...