Threat Database Malware Logiciels malveillants HYPERSCRAPE

Logiciels malveillants HYPERSCRAPE

Le logiciel malveillant HYPERSCRAPE est une menace de vol d'informations liée aux activités du groupe APT (Advanced Persistent Threat) suivi sous le nom de Charming Kitten (APT35 ). On pense que Charming Kitten est soutenu par le gouvernement iranien. Quant à HYPERSCRAPE, il s'agit d'une menace écrite en .NET pour les PC Windows et son objectif principal est de collecter des informations sur les comptes Gmail, Yahoo! et comptes Microsoft Outlook. Des détails sur HYPERSCRAPE et son comportement ont été publiés dans un rapport du Threat Analysis Group (TAG) de Google. Les chercheurs ont également indiqué qu'une dizaine de victimes de la menace localisée en Iran ont été identifiées.

Pour exécuter ses fonctions menaçantes, HYPERSCRAPE exige que les identifiants de connexion pour le compte spécifique aient déjà été compromis et obtenus par les acteurs de la menace. Une fois qu'elle a réussi à accéder au compte de la victime, la première action de la menace est de vérifier la langue actuelle et de la changer en anglais, si nécessaire. HYPERSCRAPE commencera alors à parcourir différents onglets de la boîte de réception, à la recherche d'e-mails à télécharger. Chaque fois qu'un tel e-mail est trouvé, la menace cliquera pour l'ouvrir avant de commencer un téléchargement. Pour masquer ses actions, HYPERSCRAPE renvoie tous les e-mails initialement non lus à leur état d'origine. Le logiciel malveillant peut également supprimer tous les e-mails de sécurité reçus de Google.

Les e-mails téléchargés sont enregistrés dans le répertoire "Téléchargements" sous forme de fichiers avec des extensions ".eml". Un journal gardant des onglets sur le nombre total d'e-mails téléchargés est également créé. Lorsque son exécution en cours est terminée, la menace envoie une requête HTTP POST à son serveur Command-and-Control (C2, C&C), transmettant l'état et les informations système, mais pas les e-mails téléchargés.

HYPERSCRAPE est une nouvelle menace malveillante qui s'exécute sur la machine de l'attaquant. De plus, il est toujours en cours de développement et ses fonctionnalités et son ensemble de fonctionnalités pourraient être étendus ou modifiés à l'avenir. Après tout, les versions antérieures de la menace pouvaient demander des données à Google Takeout, mais les pirates ont supprimé cette fonctionnalité pour des raisons inconnues.

Tendance

Le plus regardé

Chargement...