Вредоносное ПО HYPERSCRAPE крадет информацию

HYPERSCRAPE — это название вредоносного ПО, связанного с злоумышленником, известным под псевдонимами Charming Kitten, APT35 и Phosphorous.

Очаровательный котенок, как полагают, базируется в Иране и получает поддержку от правительства. Их инструмент HYPERSCRAPE существует уже некоторое время, но недавно получил новое обновление.

Первоначальная версия HYPERSCRAPE была обнаружена в конце 2021 года и использовалась в качестве инструмента кибершпионажа против иранских пользователей. По словам исследователей безопасности Google из группы анализа угроз компании, HYPERSCRAPE сначала потребуется доступ к учетным данным пользователя, которые он использует для запуска пользовательского сеанса, контролируемого и перехватываемого злоумышленником.

Сервер управления и контроля, используемый HYPERSCRAPE, ранее был жестко закодирован в вредоносном ПО в виде простой строки, которая теперь запутана с использованием кодировки Base64 в обновленном варианте HYPERSCRAPE.

Как только субъект угрозы получает контроль, вредоносное ПО просматривает почтовый ящик пользователя, извлекая копии записей в формате .eml.

Вредоносное ПО написано и скомпилировано в .NET и нацелено на компьютеры под управлением Windows.

August 26, 2022