HYPERSCRAPE Malware

HYPERSCRAPE Malware అనేది చార్మింగ్ కిట్టెన్ (APT35 )గా ట్రాక్ చేయబడిన APT (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) గ్రూప్ కార్యకలాపాలకు అనుసంధానించబడిన సమాచార-స్టీలర్ ముప్పు. మనోహరమైన కిట్టెన్‌కు ఇరాన్ ప్రభుత్వం మద్దతు ఇస్తుందని నమ్ముతారు. హైపర్‌స్క్రేప్ విషయానికొస్తే, ఇది Windows PCల కోసం .NETలో వ్రాయబడిన ముప్పు మరియు బాధితుడి Gmail, Yahoo! నుండి సమాచారాన్ని సేకరించడం దీని ప్రాథమిక లక్ష్యం. మరియు Microsoft Outlook ఖాతాలు. Google యొక్క థ్రెట్ అనాలిసిస్ గ్రూప్ (TAG) ద్వారా హైపర్‌స్క్రేప్ మరియు దాని ప్రవర్తన గురించిన వివరాలు విడుదల చేయబడ్డాయి. ఇరాన్‌లో ఉన్న దాదాపు డజను మంది బాధితులను గుర్తించినట్లు పరిశోధకులు తెలిపారు.

దాని బెదిరింపు విధులను నిర్వహించడానికి, హైపర్‌స్క్రేప్‌కి నిర్దిష్ట ఖాతా కోసం లాగిన్ ఆధారాలు ఇప్పటికే రాజీపడి ముప్పు నటుల ద్వారా పొందడం అవసరం. బాధితుడి ఖాతాను విజయవంతంగా యాక్సెస్ చేయగలిగిన తర్వాత, బెదిరింపు యొక్క మొదటి చర్య ఏమిటంటే, ప్రస్తుత భాషను తనిఖీ చేసి, అవసరమైతే దానిని ఆంగ్లంలోకి మార్చడం. హైపర్‌స్క్రేప్ ఇన్‌బాక్స్‌లోని వివిధ ట్యాబ్‌ల ద్వారా మళ్లీ మళ్లీ డౌన్‌లోడ్ చేయడానికి ఇమెయిల్‌ల కోసం వెతుకుతుంది. అటువంటి ఇమెయిల్ కనుగొనబడినప్పుడల్లా, డౌన్‌లోడ్ ప్రారంభించే ముందు దాన్ని తెరవడానికి బెదిరింపు క్లిక్ చేస్తుంది. దాని చర్యలను మాస్క్ చేయడానికి, HYPERSCRAPE ప్రారంభంలో చదవని ఇమెయిల్‌లను వాటి అసలు స్థితికి అందిస్తుంది. మాల్వేర్ Google నుండి అందుకున్న ఏవైనా భద్రతా ఇమెయిల్‌లను కూడా తొలగించగలదు.

డౌన్‌లోడ్ చేయబడిన ఇమెయిల్‌లు 'డౌన్‌లోడ్‌లు' డైరెక్టరీలో '.eml' పొడిగింపులతో ఫైల్‌లుగా సేవ్ చేయబడతాయి. డౌన్‌లోడ్ చేయబడిన ఇమెయిల్‌ల మొత్తం గణనపై లాగ్ కీపింగ్ ట్యాబ్‌లు కూడా సృష్టించబడతాయి. దాని ప్రస్తుత రన్ పూర్తయినప్పుడు, ముప్పు దాని కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌కు HTTP POST అభ్యర్థనను చేస్తుంది, స్థితి మరియు సిస్టమ్ సమాచారాన్ని ప్రసారం చేస్తుంది కానీ డౌన్‌లోడ్ చేయబడిన ఇమెయిల్‌లను కాదు.

హైపర్‌స్క్రేప్ అనేది దాడి చేసేవారి మెషీన్‌లో అమలు చేయబడే ఒక నవల మాల్వేర్ ముప్పు. ఇంకా, ఇది ఇంకా యాక్టివ్ డెవలప్‌మెంట్‌లో ఉంది మరియు భవిష్యత్తులో దాని ఫంక్షనాలిటీ మరియు ఫీచర్ల సెట్‌ను విస్తరించవచ్చు లేదా మార్చవచ్చు. అన్నింటికంటే, ముప్పు యొక్క మునుపటి సంస్కరణలు Google Takeout నుండి డేటాను అభ్యర్థించగలిగాయి, కానీ తెలియని కారణాల వల్ల హ్యాకర్లు ఈ కార్యాచరణను తొలగించారు.