Threat Database Malware Шкідливе програмне забезпечення HYPERSCRAPE

Шкідливе програмне забезпечення HYPERSCRAPE

Зловмисне програмне забезпечення HYPERSCRAPE — це загроза для викрадання інформації, пов’язана з діяльністю групи APT (Advanced Persistent Threat), яка відстежується як Charming Kitten (APT35 ). Вважається, що Charming Kitten підтримується урядом Ірану. Що стосується HYPERSCRAPE, то це загроза, написана в .NET для комп’ютерів з Windows, і її основною метою є збір інформації з Gmail, Yahoo! і облікові записи Microsoft Outlook. Подробиці про HYPERSCRAPE та його поведінку були оприлюднені у звіті Google Threat Analysis Group (TAG). Дослідники також заявили, що в Ірані ідентифіковано близько десятка жертв загрози.

Для виконання своїх загрозливих функцій HYPERSCRAPE вимагає, щоб облікові дані для входу в певний обліковий запис уже були зламані та отримані зловмисниками. Після успішного доступу до облікового запису жертви першою дією загрози є перевірка поточної мови та перемикання її на англійську, якщо необхідно. Після цього HYPERSCRAPE почне переглядати різні вкладки вхідних повідомлень, шукаючи електронні листи для завантаження. Щоразу, коли такий електронний лист знайдено, загроза клацне, щоб відкрити його перед початком завантаження. Щоб замаскувати свої дії, HYPERSCRAPE повертає будь-які спочатку непрочитані електронні листи до початкового стану. Зловмисне програмне забезпечення також може видалити будь-які листи безпеки, отримані від Google.

Завантажені електронні листи зберігаються в каталозі «Завантаження» як файли з розширенням «.eml». Також створюється журнал, що веде загальну кількість завантажених електронних листів. Після завершення поточного запуску загроза надсилає HTTP-запит POST на свій сервер командування та керування (C2, C&C), передаючи статус і інформацію про систему, але не завантажені електронні листи.

HYPERSCRAPE — це нова загроза зловмисного програмного забезпечення, яке запускається на машині зловмисника. Крім того, він все ще знаходиться в стадії активної розробки, і його функціональність і набір функцій можуть бути розширені або змінені в майбутньому. Зрештою, попередні версії загрози могли запитувати дані з Google Takeout, але хакери видалили цю функцію з невідомих причин.

В тренді

Найбільше переглянуті

Завантаження...