HYPERSCRAPE Skadelig programvare stjeler informasjon

HYPERSCRAPE er navnet på et stykke skadelig programvare knyttet til en trusselaktør kjent under aliasene Charming Kitten, APT35 og Phosphorous.

Charming Kitten antas å være en iransk-basert trusselaktør som mottar statlig støtte. HYPERSCRAPE-verktøyet deres har eksistert en stund, men har nylig mottatt en ny oppdatering.

Den originale versjonen av HYPERSCRAPE ble oppdaget i slutten av 2021 og ble brukt som et cyberspionasjeverktøy mot iranske brukere. Ifølge Googles sikkerhetsforskere med selskapets Threat Analysis Group, vil HYPERSCRAPE først trenge tilgang til brukerens legitimasjon, som den bruker til å kjøre en brukersesjon kontrollert og kapret av trusselaktøren.

Kommando- og kontrollserveren brukt av HYPERSCRAPE ble tidligere hardkodet inn i skadelig programvare som en enkel streng, som nå er tilsløret ved hjelp av Base64-koding i den oppdaterte varianten av HYPERSCRAPE.

Når trusselaktøren har kontroll, kjemmer skadevare gjennom brukerens e-postboks og eksfiltrerer .eml-kopier av oppføringene.

Skadevaren er skrevet og kompilert i .NET og retter seg mot datamaskiner som kjører Windows.

August 26, 2022