Les Mots de passe Sont-ils en Danger lorsque Hawkeye Keylogger Attaque?
Le keylogger HawkEye existe depuis environ six ans et malgré le fait que certains diraient qu'il a un nom idiot (pour un programme malveillant), ce n'est pas un simple outil de piratage développé par un génie de l'informatique qui est devenu un gêneur pour les autres. C'est un véritable service de cybercriminalité proposé sur le dark web. Il contient des conditions d'utilisation, les développeurs publient régulièrement des mises à jour et des correctifs. Il existe même une équipe de support prête à vous aider en cas de problème.
À la fin de 2018, la bande originale a vendu toute l'opération HawkEye à un cybercriminel qui porte le pseudonyme CerebroTech. Selon les chercheurs de l'équipe X-Force d'IBM, l'entreprise du nouveau propriétaire se porte plutôt bien. En avril et en mai, ils ont intercepté un certain nombre d'emails livrant le keylogger, et ils ont constaté qu'ils assistaient à deux campagnes de spam distinctes lancées par différents groupes de cybercriminels.
Les criminels utilisent à la fois la version 8 et la version 9 de HawkEye
Après les analyses effectuées, les chercheurs ont constaté que même si une partie du spam infectait les utilisateurs avec la dernière version du keylogger (HawkEye v9), le reste des messages portait la génération précédente (HawkEye v8). Il y avait aussi des différences dans la chaîne d'infection.
Avec les courriels contenant HawkEye version 8, les escrocs tentent de se faire passer pour une banque espagnole et, apparemment, ça ne va pas très bien. Quoiqu'ils aient pris le temps d'usurper l'adresse e-mail, le logo de la banque est absent et le texte n'est pas formaté correctement, ce qui pourrait prévenir certaines des victimes. Cela dit, le mécanisme d'infection est plutôt intelligent. Le courrier électronique est fourni avec une pièce jointe ZIP contenant un fichier LNK (un raccourci Windows). Une fois ouvert, le fichier LNK distrait la victime en affichant une image qui ressemble à un document légitime envoyé par la banque. En arrière-plan, il contacte le serveur de commande et contrôle (C&C) des escrocs et télécharge quelques fichiers exécutables dont le but est de compléter l’infection.
Les escrocs informatiques qui ont mené la campagne de HawkEye v9 ont mieux réussi à imiter de différentes entreprises dans leurs messages de spam. Ils ont décidé de ne pas compliquer les choses par un mécanisme sophistiqué d’infection en plusieurs étapes. Au lieu de cela, leurs courriels sont accompagnés de feuilles de calcul Excel.
Il convient de noter que les deux campagnes ciblent plutôt les entreprises que les utilisateurs habituels. Les messages spam de HawkEye v8 s’adressent directement aux organisations basées en Espagne, tandis que les criminels qui diffusent HawkEye v9 ciblent les entreprises situées aux États-Unis, ainsi que celles aux Émirats Arabes Unis.
HawkEye est plus fort que jamais
Les chercheurs n'ont pas partagé trop de détails sur les différences entre les versions 8 et 9 de HawkEye. Toutefois, il faut préciser que les deux versions sont plutôt puissantes. La charge utile est injectée dans un service .NET Framework, ce qui rend la détection plus difficile. Le logiciel malveillant crée un fichier TXT dans le dossier % AppData%, qui regroupe toutes les frappes enregistrées. Un module pour Mozilla Thunderbird permet aux criminels de répartir davantage la charge utile en utilisant l'adresse électronique de la victime, et un autre outil enregistre votre historique de navigation avec Firefox. C'est de cette façon que les escrocs informatiques peuvent non seulement enregistrer les mots de passe des utilisateurs; ils peuvent même voir où se trouvent les victimes lorsqu'elles saisissent leurs identifiants de connexion. IBM a noté que si les escrocs décidaient de télécharger des charges utiles supplémentaires, HawkEye pouvait aussi en assister.
En 2017, le taux d'infection par HawkEye a chuté de manière spectaculaire et beaucoup de gens ont pensé que c'était la fin du programme. Environ deux ans plus tard, il est évident que ce n'est pas le cas. HawkEye est là pour rester, et il a ciblé les entreprises, ce qui signifie que les employés partout dans le monde doivent se méfier des pièces jointes qu'ils ouvrent.