Malware HYPERSCRAPE rouba informações

HYPERSCRAPE é o nome de um malware associado a um agente de ameaças conhecido sob os pseudônimos Charming Kitten, APT35 e Phosphorous.

Acredita-se que Charming Kitten seja um ator de ameaças baseado no Irã que recebe apoio do governo. Sua ferramenta HYPERSCRAPE já existe há algum tempo, mas recentemente recebeu uma nova atualização.

A versão original do HYPERSCRAPE foi descoberta no final de 2021 e foi usada como ferramenta de ciberespionagem contra usuários iranianos. De acordo com os pesquisadores de segurança do Google com o Grupo de Análise de Ameaças da empresa, o HYPERSCRAPE precisará primeiro acessar as credenciais do usuário, que ele usa para executar uma sessão de usuário controlada e sequestrada pelo agente da ameaça.

O servidor de comando e controle usado pelo HYPERSCRAPE foi previamente codificado no malware como uma string simples, que agora é ofuscada usando a codificação Base64 na variante atualizada do HYPERSCRAPE.

Uma vez que o agente da ameaça está no controle, o malware vasculha a caixa de entrada de e-mail do usuário, exfiltrando cópias .eml das entradas.

O malware é escrito e compilado em .NET e tem como alvo computadores que executam o Windows.

August 26, 2022