Threat Database Malware HYPERSCRAPE Skadlig programvara

HYPERSCRAPE Skadlig programvara

HYPERSCRAPE Malware är ett info-stjälarhot kopplat till aktiviteterna i gruppen APT (Advanced Persistent Threat) som spåras som Charming Kitten (APT35 ). Charming Kitten tros stödjas av den iranska regeringen. När det gäller HYPERSCRAPE är det ett hot skrivet i .NET för Windows-datorer och dess primära mål är att samla in information från offrets Gmail, Yahoo! och Microsoft Outlook-konton. Detaljer om HYPERSCRAPE och dess beteende släpptes i en rapport från Googles Threat Analysis Group (TAG). Forskarna uppgav också att ett dussintal offer för hotet i Iran har identifierats.

För att kunna utföra sina hotfulla funktioner kräver HYPERSCRAPE att inloggningsuppgifterna för det specifika kontot redan har äventyrats och erhållits av hotaktörerna. När den väl har lyckats komma åt offrets konto är hotets första åtgärd att kontrollera det aktuella språket och byta det till engelska, om det behövs. HYPERSCRAPE kommer sedan att börja iterera genom olika flikar i inkorgen och leta efter e-postmeddelanden att ladda ner. Närhelst ett sådant e-postmeddelande hittas kommer hotet att klicka för att öppna det innan en nedladdning påbörjas. För att maskera dess handlingar returnerar HYPERSCRAPE alla initialt olästa e-postmeddelanden till sitt ursprungliga tillstånd. Skadlig programvara kan också radera alla säkerhetsmeddelanden som tas emot från Google.

Nedladdade e-postmeddelanden sparas i katalogen "Nedladdningar" som filer med tillägget ".eml". En logg som håller koll på det totala antalet nedladdade e-postmeddelanden skapas också. När den nuvarande körningen är klar gör hotet en HTTP POST-begäran till sin Command-and-Control-server (C2, C&C) och sänder status och systeminformation men inte de nedladdade e-postmeddelandena.

HYPERSCRAPE är ett nytt skadligt hot som körs på angriparens dator. Dessutom är den fortfarande under aktiv utveckling och dess funktionalitet och uppsättning funktioner kan utökas eller ändras i framtiden. Tidigare versioner av hotet kunde trots allt begära data från Google Takeout, men hackarna tog bort denna funktion av okända anledningar.

Trendigt

Mest sedda

Läser in...