As Senhas Correm Perigo Quando o Hawkeye Keylogger Ataca?

O keylogger HawkEye existe há cerca de seis anos e, apesar de alguns dizerem que tem nome bobo (para um programa malicioso), não é apenas uma ferramenta de hacking simples desenvolvida por um gênio em computadores adolescentes que está tentando incomodar de si mesmo. É um serviço completo de crime cibernético, oferecido na dark web. Possui termos de serviço, os desenvolvedores lançam atualizações e correções regularmente e há até uma equipe de suporte pronta para ajudar com qualquer problema.

No final de 2018, a gangue original vendeu toda a operação do HawkEye a um cibercriminoso apelidado de CerebroTech e, de acordo com pesquisadores da equipe X-Force da IBM, os negócios do novo proprietário estão indo muito bem. Em abril e maio, eles interceptaram alguns e-mails entregando o keylogger e estimam que estão testemunhando duas campanhas de spam separadas lançadas por diferentes grupos de criminosos cibernéticos.

Os Criminosos Usam o HawkEye v8 e o HawkEye v9

Os pesquisadores observaram que, enquanto parte do spam estava infectando os usuários com a versão mais recente do keylogger (HawkEye v9), o restante das mensagens era da geração anterior (HawkEye v8). Também houve diferenças na cadeia de infecção.

Com os e-mails entregando o HawkEye v8, os bandidos estão tentando se passar por um banco espanhol e, aparentemente, não estão fazendo um trabalho muito bom. Embora eles tenham gastado um tempo para falsificar o endereço de e-mail, o logotipo do banco está ausente e o texto não está formatado corretamente, o que pode levar algumas das vítimas. Dito isto, o mecanismo de infecção é bastante inteligente. O email vem com um anexo ZIP que contém um arquivo LNK (um atalho do Windows). Quando aberto, o arquivo LNK distrai a vítima exibindo uma imagem que parece um documento legítimo enviado pelo banco. No fundo, no entanto, ele entra em contato com o servidor de Comando e Controle (C&C) dos criminosos e baixa alguns arquivos executáveis que acabam com a infecção.

Os criminosos que estavam executando a campanha HawkEye v9 fizeram um trabalho melhor ao representar uma variedade de empresas diferentes em suas mensagens de spam, mas decidiram não complicar demais as coisas com um mecanismo de infecção elaborado e de vários estágios. Em vez disso, seus e-mails vêm com planilhas do Excel ativadas por macro anexadas.

Ambas as campanhas segmentam empresas e não usuários comuns. O spam do HawkEye v8 é direcionado diretamente a organizações com sede na Espanha, enquanto os criminosos que espalham o HawkEye v9 também visam empresas nos EUA e nos Emirados Árabes Unidos.

O HawkEye está Mais Poderoso do que Nunca

Os pesquisadores não compartilharam muitos detalhes sobre as diferenças entre o HawkEye v8 e o HawkEyev9. É justo dizer, no entanto, que ambas as versões são bastante poderosas. A carga útil é injetada em um serviço .NET Framework, o que dificulta a detecção. O malware cria um arquivo TXT na pasta % AppData%, que coleta todas as teclas digitadas. Um módulo para o Mozilla Thunderbird permite que os criminosos espalhem ainda mais a carga útil usando o endereço de e-mail da vítima, e outra ferramenta registra o histórico de navegação do Firefox. Dessa forma, os bandidos não podem apenas registrar as senhas das pessoas; eles também podem ver onde estão as vítimas quando inserem suas credenciais de login. A IBM observou que, se os bandidos decidirem baixar cargas úteis adicionais, o HawkEye também poderá funcionar como cum dropper.

Em 2017, a taxa de infecção pelo HawkEye caiu drasticamente, e muitas pessoas pensaram que esse era o fim disso. Cerca de dois anos depois, é óbvio que esse não é realmente o caso. O HawkEye está aqui para ficar, e está gerando uma onda de spam, o que significa que os funcionários de organizações de todos os lugares precisam ser especialmente cautelosos com os anexos de e-mail que eles abrem.