HYPERSCRAPE 恶意软件窃取信息

HYPERSCRAPE 是一种恶意软件的名称,它与别名 Charming Kitten、APT35 和 Phosphorous 的威胁行为者相关联。

Charming Kitten 被认为是来自伊朗的威胁行为者,并获得了政府的支持。他们的 HYPERSCRAPE 工具已经存在了一段时间,但最近收到了新的更新。

HYPERSCRAPE 的原始版本于 2021 年底被发现,并被用作针对伊朗用户的网络间谍工具。据谷歌威胁分析小组的安全研究人员称,HYPERSCRAPE 将首先需要访问用户的凭据,用于运行由威胁参与者控制和劫持的用户会话。

HYPERSCRAPE 使用的命令和控制服务器以前被硬编码到恶意软件中作为一个简单的字符串,现在在 HYPERSCRAPE 的更新变体中使用 Base64 编码对其进行混淆。

一旦威胁者得到控制,恶意软件就会梳理用户的电子邮件收件箱,窃取条目的 .eml 副本。

该恶意软件是用 .NET 编写和编译的,目标是运行 Windows 的计算机。

August 26, 2022