Шеф ВОЗ выдает себя за фишинг для доставки вредоносного ПО HawkEye

Серджиу Гатлан
  • 19 марта 2020 г.
  • 6:10 вечера
  • 0

Шеф ВОЗ выдает себя за фишинг для доставки вредоносного ПО HawkEye

Продолжающаяся фишинговая кампания, распространяющая электронные письма, выдаваемые за официальные сообщения Генерального директора Всемирной организации здравоохранения (ВОЗ), активно распространяет полезную нагрузку вредоносного ПО HawkEye на устройства ничего не подозревающих жертв.

Эта спам-кампания началась сегодня, по словам исследователей из IBM X-Force Threat Intelligence, которые обнаружили ее, и она уже доставила несколько волн спам-сообщений, которые пытались передать как доставленные ВОЗ.

«HawkEye предназначен для кражи информации с зараженных устройств, но его также можно использовать в качестве загрузчика, используя свои бот-сети для извлечения других вредоносных программ на устройство в качестве службы для сторонних участников киберпреступности». ранее заявляла исследовательская группа IBM X-Force. ,

Malspam многообещающие инструкции по профилактике и лечению коронавируса

Письма приходят с архивными вложениями, содержащими Болезнь коронавируса (Covid-19) CURE.exe Исполняемый файл описывается злоумышленниками как «файл с инструкциями по распространенным лекарствам для профилактики и быстрого излечения этого смертоносного вируса, называемого коронавирусной болезнью (COVID-19)».

«Это инструкция ВОЗ (Всемирной организации здравоохранения), которая поможет бороться с коронавирусом». также добавляют фишинговые электронные письма.

Читайте также

  • 6 основных советов по Amazon Echo, которые вы будете использовать каждый день
    Произведите впечатление на ваших друзей с этими командами Alexa.Alexa поможет вам установить будильник и слушать музыку посредством одной простой команды.Вы используете собственное} мастерство Amazon Echo (100 на Crutchfield), чтобы играть свою любим...
  • Как найти аккаунт МТС на телефоне
    Как проверить баланс МТС5 способов узнать свой баланс«Как проверить баланс на МТС?». этот вопрос изредка возникает у новоиспеченных операторов оператора. Между тем, ответ очень прост. Вы можете узнать о своем балансе МТС пятью различными способами, и...
  • Что Такое Калибровка Компаса На Айфоне
    Стандартное приложение Компас на вашем iPhone может посодействовать для вашей фирмы в определении верного направления и если проход, когда посторонние приложения для навигации недосягаемы, Компас Вправду выручает. Однако главное – верно им пользоват...
  • Apex Legends обновляет примечания к бонусу Battle Pass с PS4 и Xbox 1
    НОВОЕ обновление Apex Legends было выпущено сегодня Respawn Entertainment для PS4 и Xbox One, с примечаниями к патчу, подтверждающими большой Бонус Battle Pass XP.Замечания по обновлению Apex Legends для PS4 и Xbox One (Изображение: RESPAWN)Сегодняшн...
  • Как восстановить удаленную музыку телефона
    Восстановление данных на телефоне AndroidПотерянные файлы на вашем телефоне и не знаете с чего начатьЭто руководство содержит всю информацию о восстановлении данных Android, которая полезна для тех, кто решил сделать это самостоятельно.Читайте дальше...
  • Как Создать Пару Iphone И Android Auto
    Гугл, последний пример, поведала подробности о собственных планах по выводу Android, ведущей мобильной ОС, на авто рынок. Платформа получит имя Android Auto. Юзеры Android отыщут много обычного, но Гугл постаралась переработать всё с прицелом на авто...

Мишеням также предлагается просмотреть прикрепленный файл и следовать прилагаемым инструкциям, а также передать его семье и друзьям, чтобы они поделились «инструкциями», необходимыми для борьбы с вирусом.

«Эти электронные письма, утверждающие, что они принадлежат Всемирной организации здравоохранения, доставляются персонализированными путем обращения к получателю по имени пользователя, которое было удалено из адреса электронной почты». обнаружили исследователи IBM X-Force.

Однако вместо рекомендаций по лечению коронавируса исполняемый файл фактически представляет собой загрузчик кейлоггеров HawkEye с возможностями защиты от виртуальных машин и песочницы, который пытается отключить Защитник Windows через реестр и отключить сканирование и обновления с помощью PowerShell.

Собирает и отправляет учетные данные и нажатия клавиш

Конечная полезная нагрузка HawkEye, исполняемый файл с именем GqPOcUdjXrGtqjINREXuj.exe, загружается из раздела ресурсов растрового изображения и внедряется с помощью Process Hollowing.

Образец HawkEye, анализируемый IBM X-Force, способен захватывать нажатия клавиш на зараженных устройствах, но он также может делать снимки экрана и украсть учетные данные пользователя из широкого спектра приложений и из системного буфера обмена.

Вредоносное ПО собирает учетные данные от веб-браузеров и почтовых клиентов, таких как Firefox, Thunderbird, Postbox, SeaMonkey, WaterFox, PaleMoon и других. Все данные, которые он собирает, зашифрованы и отправлены своим операторам по электронной почте по протоколу SMTP.

«Образец может загрузить другие вредоносные программы с HTTP: [.] // ypsmKO ком, загруженное вредоносное ПО будет сохранено в % Temp% \ Svf,"Исследователи добавляют.

«Данные конфигурации вредоносного ПО и другие важные параметры, такие как SMTP-сервер, адрес электронной почты и используемый пароль, шифруются AES и хранятся в массиве».

В декабре 2019 года HawkEye занял седьмое место в топ-10 самых распространенных угроз в 2019 году по количеству образцов, загруженных на платформу интерактивного анализа вредоносных программ Any.Run.

Читайте также

Ежегодные ТОП10 угроз по загрузке на ANYRUN!

Предыдущие кампании HawkEye

Вредоносная программа HawkEye (также известная как Predator Pain) использовалась субъектами угроз для заражения жертв и продавалась на темных веб-рынках и хакерских форумах как минимум с 2013 года.

Разработчики HawkEye регулярно обновляют вредоносное ПО с помощью исправлений и новых возможностей и рекламируют его как решение для мониторинга системы с функциями фильтрации данных.

Злоумышленники ранее нападали на компании в мировом масштабе с помощью вредоносного ПО HawkEye в двух кампаниях по рассылке спама, проводимых с апреля по май 2019 года.

Они использовали эстонские спам-серверы для доставки вредоносных спам-сообщений, замаскированных под сообщения от испанских банков или законных компаний и распространяющих как HawkEye Reborn v8.0, так и HawkEye Reborn v9.0.

«Недавние изменения в владении и разработке кейлоггера / кражи HawkEye Reborn демонстрируют, что это угроза, которая будет продолжать развиваться и совершенствоваться в будущем». сказал Cisco Talos о вредоносном ПО HawkEye Reborn v9.

«HawkEye долгое время активно работал над угрозой и, вероятно, будет продолжать использовать ее в будущем, пока разработчик этого комплекта сможет монетизировать свои усилия».

You may also like