HYPERSCRAPE Malware vole des informations

HYPERSCRAPE est le nom d'un logiciel malveillant associé à un acteur malveillant connu sous les alias Charming Kitten, APT35 et Phosphorous.

On pense que Charming Kitten est un acteur menaçant basé en Iran qui reçoit le soutien du gouvernement. Leur outil HYPERSCRAPE existe depuis un certain temps mais a récemment reçu une nouvelle mise à jour.

La version originale d'HYPERSCRAPE a été découverte fin 2021 et a été utilisée comme outil de cyberespionnage contre les utilisateurs iraniens. Selon les chercheurs en sécurité de Google au sein du groupe d'analyse des menaces de l'entreprise, HYPERSCRAPE devra d'abord accéder aux informations d'identification de l'utilisateur, qu'il utilise pour exécuter une session utilisateur contrôlée et détournée par l'acteur de la menace.

Le serveur de commande et de contrôle utilisé par HYPERSCRAPE était auparavant codé en dur dans le malware sous la forme d'une simple chaîne, qui est maintenant masquée à l'aide de l'encodage Base64 dans la variante mise à jour de HYPERSCRAPE.

Une fois que l'auteur de la menace a pris le contrôle, le logiciel malveillant parcourt la boîte de réception des e-mails de l'utilisateur, exfiltrant les copies .eml des entrées.

Le logiciel malveillant est écrit et compilé en .NET et cible les ordinateurs exécutant Windows.