HYPERSCRAPE マルウェアが情報を盗む

HYPERSCRAPE は、Charming Kitten、APT35、Phosphorous という別名で知られる脅威アクターに関連するマルウェアの名前です。

Charming Kitten は、政府の支援を受けているイランを拠点とする攻撃者であると考えられています。彼らの HYPERSCRAPE ツールはしばらく前から存在していましたが、最近新しいアップデートを受け取りました。

HYPERSCRAPE のオリジナル バージョンは 2021 年後半に発見され、イランのユーザーに対するサイバースパイ ツールとして使用されました。 Google の脅威分析グループのセキュリティ研究者によると、HYPERSCRAPE はまずユーザーの資格情報にアクセスする必要があります。この資格情報は、攻撃者によって制御およびハイジャックされたユーザー セッションを実行するために使用されます。

HYPERSCRAPE が使用するコマンド アンド コントロール サーバーは、以前は単純な文字列としてマルウェアにハードコードされていましたが、HYPERSCRAPE の更新された亜種では Base64 エンコーディングを使用して難読化されています。

脅威アクターが制御できるようになると、マルウェアはユーザーの電子メールの受信ボックスを隅々まで調べて、エントリの .eml コピーを抽出します。

このマルウェアは、.NET で記述およびコンパイルされており、Windows を実行しているコンピューターを標的にしています。

August 26, 2022