HYPERSCRAPE Malware steelt informatie

HYPERSCRAPE is de naam van een stukje malware dat is gekoppeld aan een dreigingsactor die bekend staat onder de aliassen Charming Kitten, APT35 en Phosphorous.

Charming Kitten wordt verondersteld een in Iran gevestigde dreigingsactor te zijn die overheidssteun ontvangt. Hun HYPERSCRAPE-tool bestaat al een tijdje, maar heeft onlangs een nieuwe update gekregen.

De originele versie van HYPERSCRAPE werd eind 2021 ontdekt en werd gebruikt als cyberspionagetool tegen Iraanse gebruikers. Volgens de beveiligingsonderzoekers van Google bij de Threat Analysis Group van het bedrijf, heeft HYPERSCRAPE eerst toegang nodig tot de inloggegevens van de gebruiker, die het gebruikt om een gebruikerssessie uit te voeren die wordt gecontroleerd en gekaapt door de dreigingsactor.

De commando- en controleserver die door HYPERSCRAPE werd gebruikt, was voorheen hardgecodeerd in de malware als een eenvoudige string, die nu wordt verdoezeld met Base64-codering in de bijgewerkte variant van HYPERSCRAPE.

Zodra de dreigingsactor de controle heeft, kamt de malware door de e-mailinbox van de gebruiker en exfiltreert .eml-kopieën van de vermeldingen.

De malware is geschreven en gecompileerd in .NET en is gericht op computers met Windows.

August 26, 2022