حملات جدیدی در سطح جهان در دو ماه گذشته گزارش شده که روی کاربران حوزه کسب و کار تمرکز دارد و با استفاده از بدافزار ثبتکننده صفحه کلید (keylogger) HawkEye انجام شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، در این عملیات از ایمیلهای اسپم استفاده شده است که سازمانهای بخشهای مختلف از جمله حمل و نقل و لجستیک، سلامت، واردات و صادرات، بازاریابی، کشاورزی و غیره مورد هدف قرار گرفتهاند.
به گفته پژوهشگران، بدافزار HawkEye به منظور سرقت اطلاعات از دستگاههای آلوده طراحی شده است، اما از این بدافزار میتوان به عنوان بارگذاریکننده سایر بدافزارها از باتنتها نیز بهرهبرداری کرد. هدف از انتشار این بدافزار ثبتکننده صفحه کلید، سرقت اطلاعات احرازهویت و دادههای حساس کاربران است. به طور دقیقتر، در این عملیات از HawkEye Reborn v۸,۰ و HawkEye Reborn v۹.۰ استفاده شده که در پیوست ایمیلهای اسپم برای کاربران ارسال شده است. پیوست ایمیلها یک فایل صورتحساب جعلی است که زمانی که کاربر اقدام به بازکردن آن کند، فایل mshta.exe منتقل میشود. برای اتصال به سرور کنترل و فرمان (C&C)، این فایل از PowerShell استفاده و بدافزار در ادامه payloadهای دیگری را نیز منتقل میکند.
کسب پایداری در سیستم قربانی با کمک اسکریپت AutoIt انجام میشود. این اسکریپت در قالب یک فایل اجرایی با نام gvg.exe به ورودیهای AutoRun در رجیستری ویندوز اضافه میشود. در نتیجه در هر بار راهاندازی مجدد سیستم، بدافزار به طور خودکار اجرا میشود. همچنین پژوهشگران متوجه فایلی با نام AAHEP.txt شدند که تمامی دستورالعملهای مرتبط با بدافزار ثبتکننده صفحه کلید Hawkeye در آن قرار دارد.
ثبتکننده صفحه کلید و سارق اطلاعات Hawkeye از سال ۲۰۱۳ درحال توسعه بوده و در این سالها به منظور افزایش قابلیتهای سرقت اطلاعات و نظارت بر قربانی، ویژگیها و ماژولهای جدیدی به آن افزوده شده است. فروش این بدافزار در بازار وب تاریک و فرومهای هک انجام میشود. آخرین نسخه این بدافزار، HawkEye Reborn v۹ است که میتواند اطلاعات را از برنامههای مختلف دریافت کند و سپس از طریق پروتکلهایی مانند FTP، HTTP و SMTP آنها را برای اپراتورهای خود ارسال کند.
نشانههای آلودگی (IoC):
IP Hawkeye v۸: