當Hawkeye鍵盤記錄攻擊時,密碼是否存在危險?
HawkEye鍵盤記錄已經存在了大約六年了,儘管事實上有些人會說它有愚蠢的名字(對於惡意程序),它不僅僅是一個簡單的黑客工具,由一個試圖造成滋擾的青少年計算機高手開發他自己這是一個完整的網絡犯罪服務,在黑暗的網絡上提供。它有服務條款,開發人員定期發布更新和修復,甚至還有一個支持團隊隨時準備幫助解決任何問題。
在2018年末,原來的團伙將整個HawkEye業務賣給了一個名叫CerebroTech的網絡犯罪分子,根據IBM X-Force團隊的研究人員的說法,這位新老闆的業務做得相當不錯。在4月和5月, 他們截獲了很多發送鍵盤記錄器的電子郵件,他們認為他們正在目睹不同的網絡犯罪集團發起的兩個單獨的垃圾郵件活動。
犯罪分子同時使用HawkEye v8和HawkEye v9
研究人員指出,雖然一些垃圾郵件用最新版本的鍵盤記錄器(HawkEye v9)感染了用戶,但其餘的郵件都是上一代(HawkEye v8)。感染鏈也存在差異。
隨著發送HawkEye v8的電子郵件,騙子們試圖冒充一家西班牙銀行,顯然,他們做得併不好。雖然他們花時間欺騙電子郵件地址,但銀行的徽標丟失了,文本格式不正確,這可能會讓一些受害者失望。也就是說,感染機制相當聰明。該電子郵件附帶一個ZIP附件,其中包含一個LNK文件(Windows快捷方式)。打開時,LNK文件通過顯示看起來像銀行發送的合法文檔的圖像來分散受害者的注意力。然而,在後台,它與騙子的命令和控制服務器(C&C)聯繫並下載一些最終完成感染的可執行文件。
運行HawkEye v9活動的騙子在他們的垃圾郵件中冒充各種不同的業務做得更好,但他們決定不用複雜的多階段感染機制來複雜化。相反,他們的電子郵件附帶了附加宏的Excel電子表格。
這兩個廣告系列都針對的是企HawkEye v8垃圾郵件主要針對西班牙的組織,而傳播HawkEye v9的犯罪分子也針對美國和阿拉伯聯合酋長國的公司。
HawkEye和以往一樣強大
研究人員沒有分享關於HawkEye v8和HawkEyev9之間差異的太多細節。然而,公平地說,兩個版本都相當強大。有效負載被注入到.NET Framework服務中,這使得檢測更加困難。惡意軟件在%AppData%文件夾中創建一個TXT文件,該文件夾收集所有記錄的擊鍵。 Mozilla Thunderbird的模塊允許犯罪分子使用受害者的電子郵件地址進一步傳播有效負載,另一個工具記錄Firefox的瀏覽歷史記錄。這樣,騙子不僅可以記錄人們的密碼;他們還可以在輸入登錄憑據時查看受害者的位置。 IBM指出,如果騙子決定下載額外的有效載荷,HawkEye也可以作為滴管。
2017年,HawkEye感染率大幅下降,許多人認為這就是結束. 大約兩年後,顯然事實並非如此。 HawkEye將繼續存在,它正在掀起一波垃圾郵件,這意味著各地組織的員工需要特別警惕他們打開的電子郵件附件。