Keylogger HawkEye renacer en otra versión y otra vez ataca a las empresas

Los investigadores de X-Force, departamento de IBM en materia de ciberseguridad – informó acerca de malware spam campigns, en los marcos de las cuales los delincuentes envían HawkEye keylogger en los empleados de correos electrónicos empresas industriales en todo el mundo.

Fo dos meses atacantes extienden de software entre los empleados de las empresas que trabajan en la logística, cuidado de la salud, la comercialización y la agricultura.

“En el ámbito de los delitos informáticos, la mayoría de los actores amenaza con motivos económicos se centran en las empresas, ya que es donde se pueden obtener ganancias más grandes que los ataques a los usuarios individuales. Las empresas tienen más datos, muchos usuarios en la misma red y cuentas bancarias más grandes que los delincuentes se aprovechan de. X-Force no se sorprende al ver HawkEye operadores siguen la tendencia que se ha convertido en algo así como una norma ciberdelincuencia”, - especialistas en X-Force informe.

Los criminales interesados ​​en los datos y las credenciales confidenciales que luego utilizan para robar las cuentas y los ataques en los correos electrónicos corporativos.

ADEMÁS, HawkEye puede cargar programas de malware en los dispositivos infectados.

Durante la propagación de abril y mayo de spam campañas atacantes versiones HawkEye Renacido 8.0 y 9.0 en letras supuestamente de bancos y otras organizaciones legítimas, Pero, según los investigadores, fotos adjuntas de baja calidad y poco texto con formato. En cartas contenían archivos adjuntos de archivo con el archivo de malware, previamente convertida a partir PDF en PNG, y más tarde en LNK. Al desembalar en secreto comienza keylogger, y, distraer la atención, receta falsa reflejada.

Para infectar dispositivos se utilizaron varios archivos ejecutables. en primer lugar, mshta.exe que involucró PowerShell-script para la conexión a la ubicada en los atacantes AWS C&C-servidor y subido partes adicionales de un programa. En segundo lugar, estaba gvg.exe que Autolt-escenario contenida, lo que garantizó el inicio automático de un keylogger después del reinicio del sistema.

La imagen es una vista esquemática del flujo HaawkEye.
los investigadores de X-Force en cuenta que el proceso de infección se basa en una serie de archivos ejecutables que aprovechan scripts de PowerShell maliciosos. La imagen es una vista esquemática de que el flujo de.

En los últimos seis años, malware se consiguió multiplicar los módulos adicionales que amplían las oportunidades para espiar y robar la información. La próxima versión de keylogger, HawkEye Renacido 9, puede recoger información de diferentes aplicaciones y enviarlo a los operadores, a través de FTP, los protocolos HTTP y SMTP.

Los expertos dicen que en diciembre 2018 programa llegó a otro propietario y ahora se transmite en los foros de red oscura a través de intermediarios.

“Recientes renovado proceso de desarrollo HawkEye Renacido el cambio de propietario y demuestran que esta amenaza se desarrollará en el futuro”, - señaló investigadores de Cisco Talos.

Las recomendaciones de X-Force en reforzar la seguridad de información en las empresas:

  • Bloquear IPs maliciosos y sospechosos de la interacción con sus usuarios.
  • Esperar y advertir acerca de tendencias ataques y educar tanto a la gestión y los usuarios en los nuevos formatos y estratagemas.
  • Tomar conciencia de las nuevas tácticas de ataque, técnicas y procedimientos (TTP) para evaluar mejor el riesgo de negocio relevantes para la organización como delincuentes evolucionan sus arsenales.

Fuente: https://securityintelligence.com

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Investigadores de Malwarebytes informaron sobre la búsqueda de varios skimmers MageCart web en la plataforma de nube Heroku …

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta