Threat Database Malware Phần mềm độc hại HYPERSCRAPE

Phần mềm độc hại HYPERSCRAPE

Phần mềm độc hại HYPERSCRAPE là một mối đe dọa đánh cắp thông tin có liên quan đến các hoạt động của nhóm APT (Mối đe dọa liên tục nâng cao) được theo dõi là Charming Kitten (APT35 ). Charming Kitten được cho là được chính phủ Iran hậu thuẫn. Đối với HYPERSCRAPE, nó là một mối đe dọa được viết bằng .NET dành cho PC Windows và mục tiêu chính của nó là thu thập thông tin từ Gmail của nạn nhân, Yahoo! và tài khoản Microsoft Outlook. Thông tin chi tiết về HYPERSCRAPE và hành vi của nó đã được Nhóm phân tích mối đe dọa của Google (TAG) công bố trong một báo cáo. Các nhà nghiên cứu cũng tuyên bố rằng khoảng một chục nạn nhân của mối đe dọa nằm ở Iran đã được xác định.

Để thực hiện các chức năng đe dọa của mình, HYPERSCRAPE yêu cầu thông tin đăng nhập cho tài khoản cụ thể đã bị xâm phạm và được lấy bởi các tác nhân đe dọa. Khi nó đã truy cập thành công vào tài khoản của nạn nhân, hành động đầu tiên của mối đe dọa là kiểm tra ngôn ngữ hiện tại và chuyển nó sang tiếng Anh, nếu cần. Sau đó, HYPERSCRAPE sẽ bắt đầu lặp lại qua các tab khác nhau của hộp thư đến, tìm kiếm các email để tải xuống. Bất cứ khi nào tìm thấy một email như vậy, mối đe dọa sẽ nhấp để mở nó trước khi bắt đầu tải xuống. Để che dấu các hành động của nó, HYPERSCRAPE trả mọi email chưa đọc ban đầu về trạng thái ban đầu. Phần mềm độc hại cũng có thể xóa mọi email bảo mật nhận được từ Google.

Email đã tải xuống được lưu trong thư mục 'Tải xuống' dưới dạng tệp có phần mở rộng '.eml'. Một tab lưu giữ nhật ký về tổng số email đã tải xuống cũng được tạo. Khi quá trình chạy hiện tại của nó kết thúc, mối đe dọa thực hiện một yêu cầu HTTP POST tới máy chủ Command-and-Control (C2, C&C), truyền trạng thái và thông tin hệ thống chứ không phải các email đã tải xuống.

HYPERSCRAPE là một mối đe dọa phần mềm độc hại mới chạy trên máy của kẻ tấn công. Hơn nữa, nó vẫn đang được phát triển tích cực và chức năng và bộ tính năng của nó có thể được mở rộng hoặc thay đổi trong tương lai. Rốt cuộc, các phiên bản trước của mối đe dọa đã có thể yêu cầu dữ liệu từ Google Takeout, nhưng tin tặc đã loại bỏ chức năng này mà không rõ lý do.

xu hướng

Xem nhiều nhất

Đang tải...