May 27, 2019 – Limor Kessem – IBM
Operadores de malware HawkEye renovam ataques a usuários corporativos
Pesquisadores da IBM X-Force relatam um aumento nas campanhas de infecção por keylogger HawkEye v9 visando empresas em todo o mundo. Em campanhas observadas pela X-Force em abril e maio de 2019, o malware HawkEye se concentrou em segmentar usuários de negócios, com o objetivo de infectá-los com um malware avançado de keylogging que também pode baixar malwares adicionais para seus dispositivos. As indústrias alvo das campanhas de abril de 2019 observadas pela X-Force incluíram transporte e logística, saúde, importação e exportação, marketing, agricultura e outros.
O HawkEye foi projetado para roubar informações de dispositivos infectados, mas também pode ser usado como um carregador, aproveitando suas botnets para buscar outros malwares no dispositivo como um serviço para atores de cibercrimes de terceiros. A monetização de botnets desse tipo é bastante comum hoje em dia, com várias gangues colaborandoumas com as outras para maximizar seus lucros potenciais.
Malware HawkEye: Renascimento… mais uma vez
O malware HawkEye existe há seis anos. É uma oferta comercial vendida na web escura por uma equipe de desenvolvimento e suporte que melhora continuamente seu código, adiciona módulos e os complementa com recursos invisíveis. Em 2018, após uma pausa na atividade em 2017, a HawkEye estava de volta com uma nova versão e nome: Hawkeye Reborn v8.
Mas enquanto HawkEye começou com um “dono” em seus primeiros anos, acabou sendo vendido em dezembro de 2018 para um novo dono, um ator que trabalha com o alias online CerebroTech. O último mudou o número da versão para HawkEye Reborn v9.0, atualizou os termos de serviço para a venda do malware e distribui-o atualmente na web escura e através de revendedores. A CerebroTech parece estar liberando correções frequentes para o malware, como parte de servir compradores duvidosos nos enclaves mais escuros da web.
Malware HawkEye – O alvo: usuários de negócios
Tendo analisado as mensagens de spam transmitidas pelo HawkEye, os pesquisadores da X-Force podem observar que os operadores por trás da campanha estão direcionando usuários corporativos. Na arena do cibercrime, a maioria dos agentes de ameaças motivados financeiramente está focada nas empresas, porque é aí que elas podem obter lucros maiores do que os ataques a usuários individuais. As empresas têm mais dados, muitos usuários na mesma rede e contas bancárias maiores que os criminosos usam. A X-Force não está surpresa ao ver que os operadores do HawkEye seguem a tendência que se tornou uma espécie de norma de cibercrime.
Para ganhar a confiança de possíveis novas vítimas, mensagens esparsas vieram disfarçadas como um e-mail de um grande banco na Espanha, mas outras mensagens com infecções por HawkEye vieram em vários formatos, incluindo e-mails falsos de empresas legítimas ou de outros bancos.
Os pesquisadores da X-Force observam que o processo de infecção é baseado em vários arquivos executáveis que alavancam scripts do PowerShell mal-intencionados . A imagem a seguir é uma visão esquemática desse fluxo.
Uma descrição técnica da rotina de infecção com indicadores relevantes de comprometimento (IoCs) pode ser acessada no X-Force Exchange .
Os endereços IP que originaram o spam foram provenientes da Estônia, enquanto os usuários foram segmentados em países ao redor do mundo. Para o HawkEye, que pode ser operado por qualquer número de atores porque é uma oferta comercial, esses detalhes mudam em todas as campanhas. Dito isto, algumas campanhas analisadas pela X-Force em abril e maio de 2019 mostram que a infraestrutura da qual o spam é originário está hospedada em ativos semelhantes. É possível que os operadores da HawkEye paguem mais por outros serviços do fornecedor do malware, ou de outro fornecedor de cibercrime que serve campanhas de spam.
Malware HawkEye: Mantendo-se com Campanhas Malspam
As campanhas de infecção por malware são uma ocorrência diária na arena do crime cibernético, e os defensores sabem que são obrigados a encontrar mais deles do que podem contar. Por que acompanhar as campanhas?
A inteligência de ameaças em campanhas de phishing e malware pode ajudar a reforçar as primeiras linhas de defesa da organização ajudando as equipes de segurança:
- Bloqueie IPs suspeitos e mal-intencionados da interação com seus usuários.
- Espere e avise sobre ataques de tendências e eduque tanto o gerenciamento quanto os usuários sobre novos formatos e estratégias.
- Tome conhecimento de novas táticas de ataque, técnicas e procedimentos (TTPs) para avaliar melhor os riscos de negócios relevantes para a organização, à medida que os cibercriminosos desenvolvem seus arsenais.
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
