HYPERSCRAPE Malware stiehlt Informationen

HYPERSCRAPE ist der Name einer Malware, die mit einem Bedrohungsakteur verbunden ist, der unter den Aliasnamen Charming Kitten, APT35 und Phosphorous bekannt ist.

Es wird angenommen, dass Charming Kitten ein im Iran ansässiger Bedrohungsakteur ist, der von der Regierung unterstützt wird. Ihr HYPERSCRAPE-Tool gibt es schon eine Weile, hat aber kürzlich ein neues Update erhalten.

Die Originalversion von HYPERSCRAPE wurde Ende 2021 entdeckt und als Cyberspionage-Tool gegen iranische Benutzer eingesetzt. Laut den Sicherheitsforschern von Google mit der Threat Analysis Group des Unternehmens benötigt HYPERSCRAPE zunächst Zugriff auf die Anmeldeinformationen des Benutzers, die es verwendet, um eine vom Angreifer kontrollierte und entführte Benutzersitzung auszuführen.

Der von HYPERSCRAPE verwendete Command-and-Control-Server war zuvor als einfache Zeichenfolge fest in die Malware codiert, die nun in der aktualisierten Variante von HYPERSCRAPE mithilfe der Base64-Codierung verschleiert wird.

Sobald der Bedrohungsakteur die Kontrolle hat, durchkämmt die Malware den E-Mail-Posteingang des Benutzers und exfiltriert .eml-Kopien der Einträge.

Die Malware ist in .NET geschrieben und kompiliert und zielt auf Computer mit Windows ab.

August 26, 2022