HYPERSCRAPE Malware roba información

HYPERSCRAPE es el nombre de una pieza de malware asociada con un actor de amenazas conocido bajo los alias Charming Kitten, APT35 y Phosphorous.

Se cree que Charming Kitten es un actor de amenazas con sede en Irán que recibe apoyo del gobierno. Su herramienta HYPERSCRAPE existe desde hace un tiempo, pero recientemente recibió una nueva actualización.

La versión original de HYPERSCRAPE se descubrió a finales de 2021 y se utilizó como herramienta de ciberespionaje contra usuarios iraníes. Según los investigadores de seguridad de Google con el Grupo de análisis de amenazas de la empresa, HYPERSCRAPE primero necesitará acceder a las credenciales del usuario, que utiliza para ejecutar una sesión de usuario controlada y secuestrada por el actor de amenazas.

El servidor de comando y control utilizado por HYPERSCRAPE estaba previamente codificado en el malware como una cadena simple, que ahora está ofuscado usando la codificación Base64 en la variante actualizada de HYPERSCRAPE.

Una vez que el autor de la amenaza tiene el control, el malware rastrea la bandeja de entrada del correo electrónico del usuario y extrae copias .eml de las entradas.

El malware está escrito y compilado en .NET y se dirige a computadoras que ejecutan Windows.

August 26, 2022