Keylogger HawkEye herboren in andere versie en opnieuw aanvallen bedrijven

Onderzoekers van X-Force, IBM afdeling cybersecurity – gerapporteerd over malware spam-campigns, in frames waarvan criminelen sturen keylogger HawkEye op medewerkers van industriële ondernemingen e-mails wereldwijd.

Fof twee maanden aanvallers verspreid software onder medewerkers van bedrijven die werken in de logistiek, gezondheidszorg, marketing en landbouw.

“In de cybercriminaliteit arena, financieel meest gemotiveerde bedreiging acteurs zijn gericht op bedrijven, omdat dat is waar ze meer winst kunnen maken dan aanvallen op individuele gebruikers. Bedrijven hebben meer gegevens, veel gebruikers op hetzelfde netwerk en grotere bankrekeningen dat criminelen prooi op. X-Force is niet verrast om te zien HawkEye operatoren de trend die enigszins is geworden van een cybercrime norm”te volgen, - verslag van X-Force specialisten.

Criminelen die geïnteresseerd zijn in vertrouwelijke gegevens en referenties die later gebruikt voor het stelen van accounts en aanvallen op zakelijke e-mails.

behalve, HawkEye kan malware programma's op geïnfecteerde apparaten uploaden.

Tijdens de maanden april en mei spam-campagnes aanvallers spread HawkEye Reborn versies 8.0 En 9.0 in brieven naar verluidt van banken en andere legitieme organisaties, Maar, volgens de onderzoekers, bijgevoegde foto's van lage kwaliteit en slecht opgemaakte tekst. In de bijlagen opgenomen brieven archief met malware file, eerder omgezet van PDF naar PNG, en later in LNK. Terwijl uitpakken begint het geheim keylogger, En, afleidende aandacht, weerspiegeld nep recept.

Voor het infecteren apparaten werden gebruikt meerdere uitvoerbare bestanden. ten eerste, mshta.exe die betrokken PowerShell-script voor de aansluiting op de zich op de aanvallers AWS C&C-server en geüpload extra onderdelen van een programma. ten tweede, was gvg.exe dat bevatte Autolt-scenario, die automatische start van een keylogger gezorgd na het opnieuw opstarten van het systeem.

Het beeld is een schematisch aanzicht van HaawkEye stroming.
X-Force onderzoekers constateren dat de infectie proces is gebaseerd op een aantal uitvoerbare bestanden die kwaadaardige PowerShell-scripts te benutten. Het beeld is een schematisch aanzicht van die stroming.

In de afgelopen zes jaar, malware kreeg vermenigvuldigen extra modules die de mogelijkheden uit te breiden voor spionage en het stelen van informatie. versie Volgende keylogger's, HawkEye Reborn 9, kan informatie verzamelen uit verschillende applicaties en stuur het naar operators, via FTP, HTTP en SMTP.

Experts zeggen dat in december 2018 programma kwam naar andere eigenaar en nu is verspreid over Darknet forums via tussenpersonen.

“De recente eigenaar van de verandering en hernieuwde proces van HawkEye Reborn ontwikkeling aan te tonen dat deze dreiging zal ontwikkelen in de toekomst”, - merkte onderzoekers van Cisco Talos.

Aanbevelingen van X-Force over de versterking van informatieve veiligheid op het bedrijfsleven:

  • Blokkeer kwaadaardige en verdachte IPs van interactie met hun gebruikers.
  • Verwachten en waarschuwen voor trending aanvallen en onderwijzen zowel het management als de gebruikers op nieuwe formats en trucs.
  • Word je bewust van de nieuwe aanvalstactieken, technieken en procedures (TTP's) om beter in te schatten zakelijke risico's voor de organisatie relevant cybercriminelen ontwikkelen hun arsenalen.

Bron: https://securityintelligence.com

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

MageCart op de Heroku Cloud Platform

Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Onderzoekers van Malwarebytes rapporteerde over het vinden van een aantal MageCart web skimmers op de Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware maskers als een Android-chat-applicatie

Trend Micro deskundigen ontdekte de malware CallerSpy, waarachter een Android chat-toepassing en, …

Laat een antwoord achter