HYPERSCRAPE Malware stjæler oplysninger

HYPERSCRAPE er navnet på et stykke malware forbundet med en trusselsaktør kendt under aliaserne Charming Kitten, APT35 og Phosphorous.

Charming Kitten menes at være en iransk-baseret trusselsaktør, der modtager statsstøtte. Deres HYPERSCRAPE-værktøj har eksisteret i et stykke tid, men har for nylig modtaget en ny opdatering.

Den originale version af HYPERSCRAPE blev opdaget i slutningen af 2021 og blev brugt som et cyberspionageværktøj mod iranske brugere. Ifølge Googles sikkerhedsforskere med virksomhedens Threat Analysis Group, skal HYPERSCRAPE først have adgang til brugerens legitimationsoplysninger, som den bruger til at køre en brugersession kontrolleret og kapret af trusselsaktøren.

Kommando- og kontrolserveren brugt af HYPERSCRAPE var tidligere hårdkodet ind i malwaren som en simpel streng, som nu er sløret ved hjælp af Base64-kodning i den opdaterede variant af HYPERSCRAPE.

Når trusselsaktøren er i kontrol, finkæmmer malwaren gennem brugerens e-mail-indbakke og eksfiltrerer .eml-kopier af posterne.

Malwaren er skrevet og kompileret i .NET og er rettet mod computere, der kører Windows.

August 26, 2022