Threat Database Malware HYPERSCRAPE-Malware

HYPERSCRAPE-Malware

Die HYPERSCRAPE-Malware ist eine Informationsdiebstahl-Bedrohung, die mit den Aktivitäten der APT-Gruppe (Advanced Persistent Threat) verbunden ist, die als Charming Kitten (APT35 ) verfolgt wird. Es wird angenommen, dass Charming Kitten von der iranischen Regierung unterstützt wird. HYPERSCRAPE ist eine Bedrohung, die in .NET für Windows-PCs geschrieben ist und deren primäres Ziel es ist, Informationen von Google Mail, Yahoo! und Microsoft Outlook-Konten. Einzelheiten zu HYPERSCRAPE und seinem Verhalten wurden in einem Bericht der Threat Analysis Group (TAG) von Google veröffentlicht. Die Forscher gaben auch an, dass rund ein Dutzend Opfer der Bedrohung im Iran identifiziert wurden.

Um seine bedrohlichen Funktionen auszuführen, erfordert HYPERSCRAPE, dass die Anmeldedaten für das spezifische Konto bereits kompromittiert und von den Angreifern erlangt wurden. Nachdem erfolgreich auf das Konto des Opfers zugegriffen werden konnte, überprüft die Bedrohung zunächst die aktuelle Sprache und stellt sie gegebenenfalls auf Englisch um. HYPERSCRAPE beginnt dann, verschiedene Registerkarten des Posteingangs zu durchlaufen und nach E-Mails zum Herunterladen zu suchen. Wenn eine solche E-Mail gefunden wird, klickt die Bedrohung darauf, um sie zu öffnen, bevor ein Download gestartet wird. Um seine Aktionen zu maskieren, versetzt HYPERSCRAPE alle anfänglich ungelesenen E-Mails in ihren ursprünglichen Zustand zurück. Die Malware kann auch alle von Google erhaltenen Sicherheits-E-Mails löschen.

Heruntergeladene E-Mails werden im Verzeichnis „Downloads“ als Dateien mit der Erweiterung „.eml“ gespeichert. Außerdem wird ein Protokoll erstellt, in dem die Gesamtzahl der heruntergeladenen E-Mails aufgezeichnet wird. Wenn der aktuelle Durchlauf beendet ist, sendet die Bedrohung eine HTTP-POST-Anfrage an ihren Command-and-Control-Server (C2, C&C) und übermittelt dabei Status- und Systeminformationen, jedoch nicht die heruntergeladenen E-Mails.

HYPERSCRAPE ist eine neuartige Malware-Bedrohung, die auf dem Computer des Angreifers ausgeführt wird. Darüber hinaus befindet es sich noch in der aktiven Entwicklung und seine Funktionalität und sein Funktionsumfang könnten in Zukunft erweitert oder geändert werden. Immerhin konnten frühere Versionen der Bedrohung Daten von Google Takeout anfordern, aber die Hacker haben diese Funktionalität aus unbekannten Gründen entfernt.

Im Trend

Am häufigsten gesehen

Wird geladen...