Threat Database Malware Malware HYPERSCRAPE

Malware HYPERSCRAPE

Malware "HYPERSCRAPE" është një kërcënim për vjedhës informacioni i lidhur me aktivitetet e grupit APT (Kërcënimi i Përparuar i Përparuar) i gjurmuar si Kotele simpatike (APT35 ). Kotele simpatike besohet se mbështetet nga qeveria iraniane. Sa i përket HYPERSCRAPE, ai është një kërcënim i shkruar në .NET për kompjuterët Windows dhe qëllimi i tij kryesor është të mbledhë informacion nga Gmail i viktimës, Yahoo! dhe llogaritë e Microsoft Outlook. Detaje rreth HYPERSCRAPE dhe sjelljes së tij u publikuan në një raport nga Grupi i Analizës së Kërcënimeve të Google (TAG). Studiuesit gjithashtu deklaruan se rreth një duzinë viktima të kërcënimit të vendosura në Iran janë identifikuar.

Për të kryer funksionet e tij kërcënuese, HYPERSCRAPE kërkon që kredencialet e hyrjes për llogarinë specifike të jenë komprometuar dhe marrë tashmë nga aktorët e kërcënimit. Pasi të ketë arritur të hyjë me sukses në llogarinë e viktimës, veprimi i parë i kërcënimit është të kontrollojë gjuhën aktuale dhe ta kalojë atë në anglisht, nëse është e nevojshme. HYPERSCRAPE më pas do të fillojë të përsëritet nëpër skeda të ndryshme të kutisë hyrëse, duke kërkuar email për t'u shkarkuar. Sa herë që gjendet një email i tillë, kërcënimi do të klikojë për ta hapur atë përpara se të fillojë një shkarkim. Për të maskuar veprimet e tij, HYPERSCRAPE kthen çdo email të palexuar fillimisht në gjendjen e tyre origjinale. Malware gjithashtu mund të fshijë çdo email sigurie të marrë nga Google.

Email-et e shkarkuara ruhen në drejtorinë 'Shkarkime' si skedarë me shtesa '.eml'. Krijohet gjithashtu një regjistër për mbajtjen e skedave për numrin total të emaileve të shkarkuar. Kur ekzekutimi i tij aktual përfundon, kërcënimi bën një kërkesë HTTP POST në serverin e tij Command-and-Control (C2, C&C), duke transmetuar statusin dhe informacionin e sistemit, por jo emailet e shkarkuar.

HYPERSCRAPE është një kërcënim i ri malware që ekzekutohet në makinën e sulmuesit. Për më tepër, ai është ende në zhvillim aktiv dhe funksionaliteti dhe grupi i veçorive të tij mund të zgjerohen ose ndryshohen në të ardhmen. Në fund të fundit, versionet e mëparshme të kërcënimit ishin në gjendje të kërkonin të dhëna nga Google Takeout, por hakerët e hoqën këtë funksionalitet për arsye të panjohura.

Në trend

Më e shikuara

Po ngarkohet...