Il malware HYPERSCRAPE ruba informazioni

HYPERSCRAPE è il nome di un malware associato a un attore di minacce noto con gli alias Charming Kitten, APT35 e Phosphorous.

Si ritiene che Charming Kitten sia un attore di minacce con sede in Iran che riceve il sostegno del governo. Il loro strumento HYPERSCRAPE è in circolazione da un po' ma ha recentemente ricevuto un nuovo aggiornamento.

La versione originale di HYPERSCRAPE è stata scoperta alla fine del 2021 ed è stata utilizzata come strumento di spionaggio informatico contro gli utenti iraniani. Secondo i ricercatori di sicurezza di Google con il gruppo di analisi delle minacce dell'azienda, HYPERSCRAPE dovrà prima accedere alle credenziali dell'utente, che utilizza per eseguire una sessione utente controllata e dirottata dall'attore della minaccia.

Il server di comando e controllo utilizzato da HYPERSCRAPE era precedentemente codificato nel malware come una semplice stringa, che ora è offuscata utilizzando la codifica Base64 nella variante aggiornata di HYPERSCRAPE.

Una volta che l'attore della minaccia ha il controllo, il malware setaccia la posta in arrivo dell'utente, esfiltrando copie .eml delle voci.

Il malware viene scritto e compilato in .NET e prende di mira i computer che eseguono Windows.

August 26, 2022