Threat Database Malware HYPERSCRAPE Kötü Amaçlı Yazılım

HYPERSCRAPE Kötü Amaçlı Yazılım

HYPERSCRAPE Kötü Amaçlı Yazılımı, Charming Kitten (APT35 ) olarak izlenen APT (Gelişmiş Kalıcı Tehdit) grubunun faaliyetlerine bağlı bir bilgi hırsızı tehdididir. Charming Kitten'ın İran hükümeti tarafından desteklendiğine inanılıyor. HYPERSCRAPE ise Windows PC'ler için .NET ile yazılmış bir tehdittir ve birincil amacı kurbanın Gmail, Yahoo! ve Microsoft Outlook hesapları. HYPERSCRAPE ve davranışıyla ilgili ayrıntılar, Google'ın Tehdit Analizi Grubu (TAG) tarafından bir raporda yayınlandı. Araştırmacılar ayrıca İran'da bulunan tehdidin yaklaşık bir düzine kurbanının tespit edildiğini belirtti.

HYPERSCRAPE, tehdit işlevlerini yerine getirmek için, belirli hesabın oturum açma kimlik bilgilerinin zaten tehlikeye atılmış ve tehdit aktörleri tarafından alınmış olmasını gerektirir. Kurbanın hesabına başarılı bir şekilde erişmeyi başardıktan sonra, tehdidin ilk eylemi mevcut dili kontrol etmek ve gerekirse İngilizce'ye çevirmektir. HYPERSCRAPE daha sonra gelen kutusunun farklı sekmelerini yinelemeye başlayacak ve indirilecek e-postaları arayacaktır. Böyle bir e-posta bulunduğunda, tehdit indirmeye başlamadan önce açmak için tıklayacaktır. HYPERSCRAPE, eylemlerini maskelemek için başlangıçta okunmamış e-postaları orijinal durumlarına döndürür. Kötü amaçlı yazılım ayrıca Google'dan alınan güvenlik e-postalarını da silebilir.

İndirilen e-postalar, '.eml' uzantılı dosyalar olarak 'İndirilenler' dizinine kaydedilir. İndirilen e-postaların toplam sayısına ilişkin bir günlük tutma sekmeleri de oluşturulur. Mevcut çalışması bittiğinde, tehdit Komuta ve Kontrol (C2, C&C) sunucusuna bir HTTP POST isteğinde bulunur, durum ve sistem bilgilerini iletir, ancak indirilen e-postaları göndermez.

HYPERSCRAPE, saldırganın makinesinde çalıştırılan yeni bir kötü amaçlı yazılım tehdididir. Ayrıca, halen aktif geliştirme aşamasındadır ve işlevselliği ve özellikleri gelecekte genişletilebilir veya değiştirilebilir. Sonuçta, tehdidin önceki sürümleri Google Takeout'tan veri talep edebiliyordu, ancak bilgisayar korsanları bu işlevi bilinmeyen nedenlerle kaldırdı.

trend

En çok görüntülenen

Yükleniyor...