Keylogger HawkEye in anderer Version wiedergeboren und wieder greift Unternehmen

Forscher von X-Force, IBM-Abteilung auf Cyber – über Malware-Spam-campigns berichtet, in Rahmen von denen Kriminelle Keylogger HawkEye auf Mitarbeiter von Industrieunternehmen E-Mails versenden weltweit.

Foder 2 Monate Angreifer verteilen Software unter den Mitarbeitern von Unternehmen, die in der Logistik arbeiten, Gesundheitswesen, Marketing und Landwirtschaft.

„In der Cyber-Kriminalität Arena, finanziell motivierte Bedrohung Akteure sind auf Unternehmen fokussiert, weil das ist, wo sie größere Gewinne als Angriffe auf einzelne Benutzer machen. Die Unternehmen haben mehr Daten, viele Benutzer im gleichen Netzwerk und größere Bankkonten, die Kriminellen Beute auf. X-Force ist nicht überrascht HawkEye Operatoren folgen dem Trend zu sehen, die ein wenig von einer Internet-Kriminalität Norm geworden ist“, - Bericht X-Force-Spezialisten.

Criminals in vertraulichen Daten und Anmeldeinformationen interessiert ist, die für den Diebstahl von Konten und Angriffen auf Unternehmen E-Mails später verwendet.

Außerdem, HawkEye können Malware-Programme auf infizierten Geräte laden.

Im April und Mai Spam-Kampagnen Angreifer Verbreitung HawkEye Reborn Versionen 8.0 und 9.0 in Briefen angeblich von Banken und anderen berechtigten Organisationen, Aber, nach Ansicht der Forscher, beigefügte Bilder von geringer Qualität und schlecht formatierten Text. In Anhängen Briefe Archiv mit Malware-Datei, zuvor von PDF in PNG-Format konvertieren, und später in LNK. Während es heimlich Auspacken beginnt Keylogger, und, ablenkende Aufmerksamkeit, reflektierte gefälschtes Rezept.

Für infizieren Geräte wurden mehrere ausführbare Dateien verwendet. zuerst, mshta.exe, die Powershell-Skript für den Anschluss an die an den Angreifer sich beteiligt AWS C&C-Server und weitere Teile eines Programms hochgeladen. Zweitens, war gvg.exe Die enthaltenen Autolt-Szenario, die dafür sorgte, automatischen Start eines Keyloggers nach System Neustart.

Das Bild ist eine schematische Ansicht HaawkEye Strömungs.
X-Force Forscher beachten Sie, dass die Infektion Prozess auf einer Reihe von ausführbaren Dateien basiert, die bösartige Powershell-Skripts nutzen. Das Bild ist eine schematische Ansicht des Strömungs.

In den letzten sechs Jahren, Malware bekam mehrfach zusätzliche Module, die Möglichkeiten für Spionage und Diebstahl Informationen erweitern. Weiter Keylogger-Version, HawkEye Reborn 9, kann Informationen aus verschiedenen Anwendungen sammeln und es den Betreibern senden, mit FTP, HTTP und SMTP-Protokolle.

Experten sagen, dass im Dezember 2018 Programm kam zu anderen Eigentümer und jetzt verteilt auf darknet Foren über Vermittler.

„Neue Besitzer ändern und erneuert Prozess der HawkEye Reborn Entwicklung zeigen, dass diese Bedrohung in Zukunft entwickeln wird“, - zur Kenntnis genommen Forscher von Cisco Talos.

Empfehlungen von X-Force zur Stärkung Informationssicherheit für die Unternehmen:

  • Blockiert bösartige und verdächtige IP-Adressen aus der Interaktion mit den Nutzern.
  • Erwarten Sie und warnen vor Angriffen Trending und erziehen sowohl Management und Anwender auf neue Formate und Tricks.
  • Werden Sie sich neue Angriffstaktik, Techniken und Verfahren (TTPs) zu einem besseren Geschäftsrisiken, die für die Organisation zu beurteilen als Cyber-Kriminelle ihre Arsenale entwickeln.

Quelle: https://securityintelligence.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort