Το κακόβουλο λογισμικό HYPERSCRAPE κλέβει πληροφορίες

Το HYPERSCRAPE είναι το όνομα ενός κομματιού κακόβουλου λογισμικού που σχετίζεται με έναν παράγοντα απειλών που είναι γνωστός με τα ψευδώνυμα Charming Kitten, APT35 και Phosphorous.

Το Charming Kitten πιστεύεται ότι είναι ένας παράγοντας απειλών με έδρα το Ιράν και λαμβάνει κυβερνητική υποστήριξη. Το εργαλείο τους HYPERSCRAPE κυκλοφορεί εδώ και καιρό, αλλά πρόσφατα έλαβε μια νέα ενημέρωση.

Η αρχική έκδοση του HYPERSCRAPE ανακαλύφθηκε στα τέλη του 2021 και χρησιμοποιήθηκε ως εργαλείο κυβερνοκατασκοπείας εναντίον Ιρανών χρηστών. Σύμφωνα με τους ερευνητές ασφαλείας της Google με την Ομάδα Ανάλυσης Απειλών της εταιρείας, το HYPERSCRAPE θα χρειαστεί πρώτα πρόσβαση στα διαπιστευτήρια του χρήστη, τα οποία χρησιμοποιεί για να εκτελέσει μια περίοδο λειτουργίας χρήστη που ελέγχεται και παραβιάζεται από τον παράγοντα απειλής.

Ο διακομιστής εντολών και ελέγχου που χρησιμοποιούσε το HYPERSCRAPE ήταν προηγουμένως κωδικοποιημένος στο κακόβουλο λογισμικό ως μια απλή συμβολοσειρά, η οποία τώρα είναι ασαφής χρησιμοποιώντας την κωδικοποίηση Base64 στην ενημερωμένη παραλλαγή του HYPERSCRAPE.

Μόλις ο παράγοντας απειλής έχει τον έλεγχο, το κακόβουλο λογισμικό χτενίζει τα εισερχόμενα email του χρήστη, διεκδικώντας αντίγραφα .eml των καταχωρίσεων.

Το κακόβουλο λογισμικό είναι γραμμένο και μεταγλωττισμένο σε .NET και στοχεύει υπολογιστές με Windows.

August 26, 2022