Malware HYPERSCRAPE rouba informações
HYPERSCRAPE é o nome de um malware associado a um agente de ameaças conhecido sob os pseudônimos Charming Kitten, APT35 e Phosphorous.
Acredita-se que Charming Kitten seja um ator de ameaças baseado no Irã que recebe apoio do governo. Sua ferramenta HYPERSCRAPE já existe há algum tempo, mas recentemente recebeu uma nova atualização.
A versão original do HYPERSCRAPE foi descoberta no final de 2021 e foi usada como ferramenta de ciberespionagem contra usuários iranianos. De acordo com os pesquisadores de segurança do Google com o Grupo de Análise de Ameaças da empresa, o HYPERSCRAPE precisará primeiro acessar as credenciais do usuário, que ele usa para executar uma sessão de usuário controlada e sequestrada pelo agente da ameaça.
O servidor de comando e controle usado pelo HYPERSCRAPE foi previamente codificado no malware como uma string simples, que agora é ofuscada usando a codificação Base64 na variante atualizada do HYPERSCRAPE.
Uma vez que o agente da ameaça está no controle, o malware vasculha a caixa de entrada de e-mail do usuário, exfiltrando cópias .eml das entradas.
O malware é escrito e compilado em .NET e tem como alvo computadores que executam o Windows.
