Вредоносное ПО HYPERSCRAPE крадет информацию
HYPERSCRAPE — это название вредоносного ПО, связанного с злоумышленником, известным под псевдонимами Charming Kitten, APT35 и Phosphorous.
Очаровательный котенок, как полагают, базируется в Иране и получает поддержку от правительства. Их инструмент HYPERSCRAPE существует уже некоторое время, но недавно получил новое обновление.
Первоначальная версия HYPERSCRAPE была обнаружена в конце 2021 года и использовалась в качестве инструмента кибершпионажа против иранских пользователей. По словам исследователей безопасности Google из группы анализа угроз компании, HYPERSCRAPE сначала потребуется доступ к учетным данным пользователя, которые он использует для запуска пользовательского сеанса, контролируемого и перехватываемого злоумышленником.
Сервер управления и контроля, используемый HYPERSCRAPE, ранее был жестко закодирован в вредоносном ПО в виде простой строки, которая теперь запутана с использованием кодировки Base64 в обновленном варианте HYPERSCRAPE.
Как только субъект угрозы получает контроль, вредоносное ПО просматривает почтовый ящик пользователя, извлекая копии записей в формате .eml.
Вредоносное ПО написано и скомпилировано в .NET и нацелено на компьютеры под управлением Windows.