Threat Database Malware HYPERSCRAPE 恶意软件

HYPERSCRAPE 恶意软件

HYPERSCRAPE 恶意软件是一种信息窃取威胁,与跟踪为 Charming Kitten (APT35 ) 的 APT(高级持续威胁)组的活动有关。迷人的小猫被认为得到了伊朗政府的支持。至于 HYPERSCRAPE,它是用 .NET 为 Windows PC 编写的威胁,其主要目标是从受害者的 Gmail、Yahoo! 收集信息。和 Microsoft Outlook 帐户。 Google 威胁分析小组 (TAG) 在一份报告中公布了有关 HYPERSCRAPE 及其行为的详细信息。研究人员还表示,已经确定了大约 12 名位于伊朗的威胁受害者。

为了执行其威胁功能,HYPERSCRAPE 要求特定帐户的登录凭据已经被威胁者入侵并获得。一旦成功访问受害者的帐户,威胁的第一个动作就是检查当前语言并在必要时将其切换为英语。然后,HYPERSCRAPE 将开始遍历收件箱的不同选项卡,寻找要下载的电子邮件。每当找到此类电子邮件时,威胁将在开始下载之前单击以将其打开。为了掩盖其行为,HYPERSCRAPE 会将任何最初未读的电子邮件返回到其原始状态。该恶意软件还可以删除从 Google 收到的任何安全电子邮件。

下载的电子邮件作为扩展名为“.eml”的文件保存在“下载”目录中。还创建了一个记录已下载电子邮件总数的日志。当前运行完成后,威胁向其命令和控制(C2、C&C)服务器发出 HTTP POST 请求,传输状态和系统信息,但不传输下载的电子邮件。

HYPERSCRAPE 是一种在攻击者机器上运行的新型恶意软件威胁。此外,它仍在积极开发中,未来可能会扩展或更改其功能和特性集。毕竟,早期版本的威胁能够从 Google Takeout 请求数据,但黑客出于未知原因删除了此功能。

趋势

最受关注

正在加载...