Исследователи из X-Force — подразделения IBM, занимающегося кибербезопасностью, — сообщили о вредоносных спам-кампаниях, в рамках которых преступники рассылают кейлоггер HawkEye на адреса сотрудников промышленных предприятий по всему миру.
Мошенники на протяжении уже двух месяцев распространяют ПО среди работников компаний, занимающихся логистикой, здравоохранением, маркетингом и сельским хозяйством. Преступников интересуют конфиденциальные и учетные данные, которые потом используются для кражи аккаунтов и атак на корпоративную электронную почту. Помимо прочего, HawkEye также может загружать на зараженные устройства вредоносное ПО.
В ходе апрельских и майских спам-кампаний злоумышленники распространяли HawkEye Reborn версий 8.0 и 9.0 в письмах якобы от лица банков и других легитимных организаций, но, по словам исследователей, размещали в них низкокачественные изображения и плохо отформатированный текст. Во вложении к письмам содержался архив с вредоносным файлом, сначала преобразованным из формата PDF в PNG, а затем в LNK. При распаковке он скрытно запускал кейлоггер и, чтобы отвлечь внимание, отображал поддельный счет-фактуру.
Для заражения устройства использовались несколько исполняемых файлов. Первый из них, mshta.exe, задействовал PowerShell-скрипт для подключения к размещенному на AWS C&C-серверу злоумышленников и загружал дополнительные фрагменты программы. Другой — gvg.exe — содержал AutoIt-сценарий, обеспечивающий автоматический запуск кейлоггера после перезагрузки системы.
За последние шесть лет вредонос получил множество дополнительных модулей, расширяющих возможности для слежки и кражи данных. Очередная версия кейлоггера, HawkEye Reborn 9, может собирать информацию из разных приложений и отправлять ее операторам, используя протоколы FTP, HTTP и SMTP.
По данным экспертов, в декабре 2018 года программа перешла другому хозяину и теперь распространяется на форумах в даркнете через посредников.
«Недавняя смена владельца и обновленный процесс разработки кейлоггера HawkEye Reborn демонстрируют, что эта угроза продолжит развиваться и совершенствоваться в будущем», — отметили исследователи из Cisco Talos.
Источник: https://threatpost.ru/hawkeye-attacks-industrial-enterprises/32824/