HYPERSCRAPE Malware
El HYPERSCRAPE Malware es una amenaza de ladrón de información relacionada con las actividades del grupo APT (Advanced Persistent Threat) rastreado como Charming Kitten (APT35 ). Se cree que Charming Kitten está respaldado por el gobierno iraní. En cuanto a HYPERSCRAPE, es una amenaza escrita en .NET para PC con Windows y su objetivo principal es recopilar información del Gmail de la víctima, Yahoo! y cuentas de Microsoft Outlook. Los detalles sobre HYPERSCRAPE y su comportamiento fueron publicados en un informe del Threat Analysis Group (TAG) de Google. Los investigadores también afirmaron que se han identificado alrededor de una docena de víctimas de la amenaza ubicadas en Irán.
Para realizar sus funciones amenazantes, HYPERSCRAPE requiere que las credenciales de inicio de sesión para la cuenta específica ya hayan sido comprometidas y obtenidas por los actores de la amenaza. Una vez que ha logrado acceder con éxito a la cuenta de la víctima, la primera acción de la amenaza es verificar el idioma actual y cambiarlo a inglés, si es necesario. HYPERSCRAPE luego comenzará a iterar a través de diferentes pestañas de la bandeja de entrada, en busca de correos electrónicos para descargar. Siempre que se encuentre un correo electrónico de este tipo, la amenaza hará clic para abrirlo antes de iniciar una descarga. Para enmascarar sus acciones, HYPERSCRAPE devuelve los correos electrónicos inicialmente no leídos a su estado original. El malware también puede eliminar cualquier correo electrónico de seguridad recibido de Google.
Los correos electrónicos descargados se guardan en el directorio 'Descargas' como archivos con extensiones '.eml'. También se crea un registro que mantiene las pestañas sobre el recuento total de correos electrónicos descargados. Cuando finaliza su ejecución actual, la amenaza realiza una solicitud HTTP POST a su servidor de comando y control (C2, C&C), transmitiendo el estado y la información del sistema, pero no los correos electrónicos descargados.
HYPERSCRAPE es una nueva amenaza de malware que se ejecuta en la máquina del atacante. Además, todavía está en desarrollo activo y su funcionalidad y conjunto de características podrían ampliarse o cambiarse en el futuro. Después de todo, las versiones anteriores de la amenaza podían solicitar datos de Google Takeout, pero los piratas informáticos eliminaron esta funcionalidad por razones desconocidas.
