HYPERSCRAPE 惡意軟件竊取信息
HYPERSCRAPE 是一種惡意軟件的名稱,它與別名 Charming Kitten、APT35 和 Phosphorous 的威脅行為者相關聯。
Charming Kitten 被認為是來自伊朗的威脅行為者,得到了政府的支持。他們的 HYPERSCRAPE 工具已經存在了一段時間,但最近收到了新的更新。
HYPERSCRAPE 的原始版本於 2021 年底被發現,並被用作針對伊朗用戶的網絡間諜工具。據谷歌威脅分析小組的安全研究人員稱,HYPERSCRAPE 將首先需要訪問用戶的憑據,用於運行由威脅參與者控制和劫持的用戶會話。
HYPERSCRAPE 使用的命令和控制服務器以前被硬編碼到惡意軟件中作為一個簡單的字符串,現在在 HYPERSCRAPE 的更新變體中使用 Base64 編碼對其進行混淆。
一旦威脅者得到控制,惡意軟件就會梳理用戶的電子郵件收件箱,竊取條目的 .eml 副本。
該惡意軟件是用 .NET 編寫和編譯的,目標是運行 Windows 的計算機。