Les Mots de passe Sont-ils en Danger lorsque Hawkeye Keylogger Attaque?

HawkEye Keylogger Malspam

Le keylogger HawkEye existe depuis environ six ans et malgré le fait que certains diraient qu'il a un nom idiot (pour un programme malveillant), ce n'est pas un simple outil de piratage développé par un génie de l'informatique qui est devenu un gêneur pour les autres. C'est un véritable service de cybercriminalité proposé sur le dark web. Il contient des conditions d'utilisation, les développeurs publient régulièrement des mises à jour et des correctifs. Il existe même une équipe de support prête à vous aider en cas de problème.

À la fin de 2018, la bande originale a vendu toute l'opération HawkEye à un cybercriminel qui porte le pseudonyme CerebroTech. Selon les chercheurs de l'équipe X-Force d'IBM, l'entreprise du nouveau propriétaire se porte plutôt bien. En avril et en mai, ils ont intercepté un certain nombre d'emails livrant le keylogger, et ils ont constaté qu'ils assistaient à deux campagnes de spam distinctes lancées par différents groupes de cybercriminels.

Les criminels utilisent à la fois la version 8 et la version 9 de HawkEye

Après les analyses effectuées, les chercheurs ont constaté que même si une partie du spam infectait les utilisateurs avec la dernière version du keylogger (HawkEye v9), le reste des messages portait la génération précédente (HawkEye v8). Il y avait aussi des différences dans la chaîne d'infection.

Avec les courriels contenant HawkEye version 8, les escrocs tentent de se faire passer pour une banque espagnole et, apparemment, ça ne va pas très bien. Quoiqu'ils aient pris le temps d'usurper l'adresse e-mail, le logo de la banque est absent et le texte n'est pas formaté correctement, ce qui pourrait prévenir certaines des victimes. Cela dit, le mécanisme d'infection est plutôt intelligent. Le courrier électronique est fourni avec une pièce jointe ZIP contenant un fichier LNK (un raccourci Windows). Une fois ouvert, le fichier LNK distrait la victime en affichant une image qui ressemble à un document légitime envoyé par la banque. En arrière-plan, il contacte le serveur de commande et contrôle (C&C) des escrocs et télécharge quelques fichiers exécutables dont le but est de compléter l’infection.

Les escrocs informatiques qui ont mené la campagne de HawkEye v9 ont mieux réussi à imiter de différentes entreprises dans leurs messages de spam. Ils ont décidé de ne pas compliquer les choses par un mécanisme sophistiqué d’infection en plusieurs étapes. Au lieu de cela, leurs courriels sont accompagnés de feuilles de calcul Excel.

Il convient de noter que les deux campagnes ciblent plutôt les entreprises que les utilisateurs habituels. Les messages spam de HawkEye v8 s’adressent directement aux organisations basées en Espagne, tandis que les criminels qui diffusent HawkEye v9 ciblent les entreprises situées aux États-Unis, ainsi que celles aux Émirats Arabes Unis.

HawkEye est plus fort que jamais

Les chercheurs n'ont pas partagé trop de détails sur les différences entre les versions 8 et 9 de HawkEye. Toutefois, il faut préciser que les deux versions sont plutôt puissantes. La charge utile est injectée dans un service .NET Framework, ce qui rend la détection plus difficile. Le logiciel malveillant crée un fichier TXT dans le dossier % AppData%, qui regroupe toutes les frappes enregistrées. Un module pour Mozilla Thunderbird permet aux criminels de répartir davantage la charge utile en utilisant l'adresse électronique de la victime, et un autre outil enregistre votre historique de navigation avec Firefox. C'est de cette façon que les escrocs informatiques peuvent non seulement enregistrer les mots de passe des utilisateurs; ils peuvent même voir où se trouvent les victimes lorsqu'elles saisissent leurs identifiants de connexion. IBM a noté que si les escrocs décidaient de télécharger des charges utiles supplémentaires, HawkEye pouvait aussi en assister.

En 2017, le taux d'infection par HawkEye a chuté de manière spectaculaire et beaucoup de gens ont pensé que c'était la fin du programme. Environ deux ans plus tard, il est évident que ce n'est pas le cas. HawkEye est là pour rester, et il a ciblé les entreprises, ce qui signifie que les employés partout dans le monde doivent se méfier des pièces jointes qu'ils ouvrent.

Par Duran
June 3, 2019
Malware
Français
June 3, 2019
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.