当Hawkeye键盘记录攻击时,密码是否存在危险?

HawkEye Keylogger Malspam

HawkEye键盘记录已经存在了大约六年了,尽管事实上有些人会说它有愚蠢的名字(对于恶意程序),它不仅仅是一个简单的黑客工具,由一个试图造成滋扰的青少年计算机高手开发他自己这是一个完整的网络犯罪服务,在黑暗的网络上提供。它有服务条款,开发人员定期发布更新和修复,甚至还有一个支持团队随时准备帮助解决任何问题。

在2018年末,原来的团伙将整个HawkEye业务卖给了一个名叫CerebroTech的网络犯罪分子,根据IBM X-Force团队的研究人员的说法,这位新老板的业务做得相当不错。在4月和5月, 他们截获了很多发送键盘记录器的电子邮件,他们认为他们正在目睹不同的网络犯罪集团发起的两个单独的垃圾邮件活动。

犯罪分子同时使用HawkEye v8和HawkEye v9

研究人员指出,虽然一些垃圾邮件用最新版本的键盘记录器(HawkEye v9)感染了用户,但其余的邮件都是上一代(HawkEye v8)。感染链也存在差异。

随着发送HawkEye v8的电子邮件,骗子们试图冒充一家西班牙银行,显然,他们做得并不好。虽然他们花时间欺骗电子邮件地址,但银行的徽标丢失了,文本格式不正确,这可能会让一些受害者失望。也就是说,感染机制相当聪明。该电子邮件附带一个ZIP附件,其中包含一个LNK文件(Windows快捷方式)。打开时,LNK文件通过显示看起来像银行发送的合法文档的图像来分散受害者的注意力。然而,在后台,它与骗子的命令和控制服务器(C&C)联系并下载一些最终完成感染的可执行文件。

运行HawkEye v9活动的骗子在他们的垃圾邮件中冒充各种不同的业务做得更好,但他们决定不用复杂的多阶段感染机制来复杂化。相反,他们的电子邮件附带了附加宏的Excel电子表格。

这两个广告系列都针对的是企HawkEye v8垃圾邮件主要针对西班牙的组织,而传播HawkEye v9的犯罪分子也针对美国和阿拉伯联合酋长国的公司。

HawkEye和以往一样强大

研究人员没有分享关于HawkEye v8和HawkEyev9之间差异的太多细节。然而,公平地说,两个版本都相当强大。有效负载被注入到.NET Framework服务中,这使得检测更加困难。恶意软件在%AppData%文件夹中创建一个TXT文件,该文件夹收集所有记录的击键。 Mozilla Thunderbird的模块允许犯罪分子使用受害者的电子邮件地址进一步传播有效负载,另一个工具记录Firefox的浏览历史记录。这样,骗子不仅可以记录人们的密码;他们还可以在输入登录凭据时查看受害者的位置。 IBM指出,如果骗子决定下载额外的有效载荷,HawkEye也可以作为滴管。

2017年,HawkEye感染率大幅下降,许多人认为这就是结束. 大约两年后,显然事实并非如此。 HawkEye将继续存在,它正在掀起一波垃圾邮件,这意味着各地组织的员工需要特别警惕他们打开的电子邮件附件。

July 16, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
2 + 7是什么?