Threat Database Malware HYPERSCRAPE มัลแวร์

HYPERSCRAPE มัลแวร์

มัลแวร์ HYPERSCRAPE เป็นภัยคุกคามขโมยข้อมูลที่เชื่อมโยงกับกิจกรรมของกลุ่ม APT (Advanced Persistent Threat) ที่ติดตามในชื่อ Charming Kitten (APT35 ) เชื่อกันว่าลูกแมวที่มีเสน่ห์ได้รับการสนับสนุนจากรัฐบาลอิหร่าน สำหรับ HYPERSCRAPE เป็นภัยคุกคามที่เขียนใน .NET สำหรับพีซี Windows และเป้าหมายหลักคือการรวบรวมข้อมูลจาก Gmail ของเหยื่อ Yahoo! และบัญชี Microsoft Outlook รายละเอียดเกี่ยวกับ HYPERSCRAPE และพฤติกรรมของมันได้รับการเปิดเผยในรายงานโดย Threat Analysis Group (TAG) ของ Google นักวิจัยยังระบุด้วยว่ามีการระบุเหยื่อของภัยคุกคามในอิหร่านประมาณสิบราย

ในการปฏิบัติหน้าที่ที่คุกคาม HYPERSCRAPE ต้องใช้ข้อมูลรับรองการเข้าสู่ระบบสำหรับบัญชีนั้น ๆ เพื่อให้ถูกบุกรุกและได้มาโดยผู้คุกคาม เมื่อสามารถเข้าถึงบัญชีของเหยื่อได้สำเร็จ การดำเนินการแรกของภัยคุกคามคือการตรวจสอบภาษาปัจจุบันและเปลี่ยนเป็นภาษาอังกฤษ หากจำเป็น HYPERSCRAPE จะเริ่มทำซ้ำผ่านแท็บต่างๆ ของกล่องจดหมาย โดยมองหาอีเมลที่จะดาวน์โหลด เมื่อใดก็ตามที่พบอีเมลดังกล่าว ภัยคุกคามจะคลิกเพื่อเปิดก่อนที่จะเริ่มดาวน์โหลด ในการปิดบังการทำงาน HYPERSCRAPE จะส่งกลับอีเมลที่ยังไม่ได้อ่านในขั้นต้นไปยังสถานะเดิม มัลแวร์ยังสามารถลบอีเมลความปลอดภัยที่ได้รับจาก Google ได้อีกด้วย

อีเมลที่ดาวน์โหลดจะถูกบันทึกไว้ในไดเร็กทอรี 'ดาวน์โหลด' เป็นไฟล์ที่มีนามสกุล '.eml' มีการสร้างบันทึกการรักษาแท็บเกี่ยวกับจำนวนอีเมลที่ดาวน์โหลดทั้งหมด เมื่อการดำเนินการปัจจุบันเสร็จสิ้น ภัยคุกคามจะส่งคำขอ HTTP POST ไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) เพื่อส่งสถานะและข้อมูลระบบ แต่ไม่ใช่อีเมลที่ดาวน์โหลด

HYPERSCRAPE เป็นภัยคุกคามมัลแวร์แบบใหม่ที่ทำงานบนเครื่องของผู้โจมตี นอกจากนี้ ยังอยู่ระหว่างการพัฒนา และฟังก์ชันและชุดคุณลักษณะสามารถขยายหรือเปลี่ยนแปลงได้ในอนาคต ท้ายที่สุด ภัยคุกคามเวอร์ชันก่อนหน้าสามารถขอข้อมูลจาก Google Takeout ได้ แต่แฮกเกอร์ได้ลบฟังก์ชันนี้โดยไม่ทราบสาเหตุ

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...