HYPERSKRAP Skadlig programvara stjäl information

HYPERSCRAPE är namnet på en del av skadlig programvara associerad med en hotaktör känd under aliasen Charming Kitten, APT35 och Phosphorous.

Charming Kitten tros vara en iransk-baserad hotaktör som får statligt stöd. Deras HYPERSCRAPE-verktyg har funnits ett tag men har nyligen fått en ny uppdatering.

Den ursprungliga versionen av HYPERSCRAPE upptäcktes i slutet av 2021 och användes som ett cyberspionageverktyg mot iranska användare. Enligt Googles säkerhetsforskare med företagets Threat Analysis Group kommer HYPERSCRAPE först att behöva tillgång till användarens autentiseringsuppgifter, som den använder för att köra en användarsession som kontrolleras och kapas av hotaktören.

Kommando- och kontrollservern som användes av HYPERSCRAPE var tidigare hårdkodad i skadlig programvara som en enkel sträng, som nu fördunklas med Base64-kodning i den uppdaterade varianten av HYPERSCRAPE.

När hotaktören väl har kontroll, kammar den skadliga programvaran igenom användarens e-postkorg och exfiltrerar .eml-kopior av posterna.

Skadlig programvara är skriven och kompilerad i .NET och riktar sig till datorer som kör Windows.

August 26, 2022