正在进行的网络钓鱼活动正在传递电子邮件,这些电子邮件冒充来自世界卫生组织(WHO)总干事的正式消息,正在积极地将HawkEye恶意软件有效载荷传播到毫无戒心的受害者的设备上。
据IBM X-Force Threat Intelligence的研究人员发现,此垃圾邮件运动今天开始,它已经传递了几波垃圾邮件,这些邮件试图被WHO传递。
IBM X-Force的研究小组此前表示: “ HawkEye旨在从受感染的设备中窃取信息,但也可以用作装载程序,利用其僵尸网络将其他恶意软件提取到设备中,以作为第三方网络犯罪参与者的服务。” 。
马尔帕斯有前途的冠状病毒防治指导
电子邮件随附归档附件,其中包含 攻击者描述为“ 冠状病毒病(Covid-19)CURE.exe”可执行文件的“可执行文件,其中包含用于预防和快速治愈这种致命病毒的冠状病毒病(COVID- 19)。”
网络钓鱼邮件还补充说:“这是世界卫生组织(世卫组织)的一项指令,旨在帮助防止对抗冠状病毒。”
还要求目标人员检查附件并遵循随附的说明,并将其转发给家人和朋友,以共享对抗病毒所需的“说明”。
.jpg)
IBM X-Force研究人员发现: “这些声称来自世界卫生组织的电子邮件正在通过个性化方式发送,方法是使用电子邮件地址中删除的用户名向收件人发送电子邮件。”
但是,可执行文件实际上是具有抗VM和抗沙盒功能的HawkEye键盘记录程序加载程序,而不是冠状病毒药物建议,它将尝试通过注册表关闭Windows Defender并使用PowerShell禁用扫描和更新。
收集和泄露凭证和击键
最终的HawkEye有效负载(名为GqPOcUdjXrGtqjINREXuj.exe的可执行文件) 是从位图图像的资源部分加载的,并使用Process Hollowing注入 。
IBM X-Force分析的HawkEye样本能够捕获受感染设备上的击键,但是它也可以捕获屏幕快照并从各种应用程序和系统剪贴板中窃取用户凭证。
该恶意软件将从Web浏览器和电子邮件客户端(例如Firefox,Thunderbird,Postbox,SeaMonkey,WaterFox,PaleMoon等)中获取凭据。它收集的所有数据都经过加密,并通过SMTP协议通过电子邮件发送给操作员。
研究人员补充说: “该样本可以从http:// ypsmKO [。] com下载其他恶意软件,下载的恶意软件将保存在%temp%\ Svf中。”
“恶意软件的配置数据和其他重要设置(例如SMTP服务器,电子邮件地址和使用的密码)均经过AES加密并存储在阵列中。”
根据上载到交互式恶意软件分析平台Any.Run的样本数量,HawkEye 在2019年最流行的10大威胁中排名第七。
通过将年度TOP10威胁上传到ANYRUN!
1 #Emotet 36026
2 #AgentTesla 10324
3 #NanoCore 6527
#LokiBot 5693
#Ursnif 4185
#FormBook 3548
#HawkEye 3388
#AZORult 2898
#TrickBot 2510
#njRAT 2355 https://t.co/Kx0pJYckBW-ANY.RUN(@anyrun_app)2019年12月23日
以前的HawkEye活动
HawkEye的开发人员会定期使用修复程序和新功能更新该恶意软件,并将其宣传为具有数据泄露功能的系统监视解决方案。
攻击者以前曾在2019年4月至5月的两次恶意垃圾邮件活动中使用HawkEye恶意软件在全球范围内以企业为目标。
他们使用爱沙尼亚垃圾邮件服务器发送伪装成来自西班牙银行或合法公司的邮件的恶意垃圾邮件,并分发HawkEye Reborn v8.0和HawkEye Reborn v9.0。
思科Talos谈到HawkEye Reborn v9恶意软件时说:“ HawkEye Reborn键盘记录器/窃取者的所有权和开发工作方面的最新变化表明,这是一种威胁,将继续经历持续的开发和改进。”
“ HawkEye在威胁环境中活跃了很长时间,并且只要该工具包的开发人员能够从他们的努力中获利,将来可能会继续利用它。”
*编译:Domino
*来自:Bleeping