Angreifer verwenden Sie den Formel-Editor zu verbreiten Hawkeye Tasten-Rekorder
Vor kurzem wurde ein Tasten-Rekorder Kampagne nahm einen Vorteil von einer alten Microsoft Office-Formel-Editor-Schwäche zu stehlen Benutzer vertrauliche Informationen, Passwörter und den Inhalt der Zwischenablage.
Nach Quick Heal report, Hacker gemacht Verwendung von Rich-Text-Format (RTF) - Dateien zu verbreiten, die keylogger-malware namens Hawkeye. Diese RTF-Dateien wurden entweder isoliert oder zusammen mit PDF-Dateien, also errichtet wurden, in PDF-Dateien mit den Erweiterungen DOC.
Phishing-emails sind das wichtigste Werkzeug, um root in Geräten bestimmter Personen und Unternehmen. So, die Kampagne entschieden, bei der eine weniger populäre Art und Weise zu beeinflussen - das Microsoft-Office-Formel-Editor. Das sogenannte "Hawkeye v8 Reborn" exploit-CVE-2017-11882, dass ist der Hauptgrund, warum der stack buffer overflow im Formel-Editor, verwendet eine dynamisch-size-string FONT-name. Wenn alles reibungslos verläuft, Hacker werden in der Lage sein, beliebigen code auszuführen und zu verbreiten Nutzlasten.
Aktuelle Version von Hawkeye Tasten-Rekorder Macht Zusätzliche Features zur Verfügung
Verschleierung und Steuerhinterziehung sind die wichtigsten Dinge für Hawkeye um erfolgreich zu sein. Der Formel-Editor ist die erste Sache, die beginnen mit: Microsoft entdeckt solche versuche, die im November 2017, aber es gibt immer noch zahlreiche lose Versionen-Spezialisten zu tun haben.
Außerdem Hawkeye Tasten-Rekorder schafft es, unentdeckt zu bleiben, indem Sie ausführen kompilieren von code und Download Nutzdaten im Speicher, trotz des Schreibens auf die Festplatte zu speichern. So, die Mehrheit der security-Spezialisten nicht erkennt diese Bedrohung.
Nach der installation der keylogger-Nutzlast, die von Cyberkriminellen Zugriff auf zahlreiche Funktionen, wie File-Transfer-Protokoll (FTP) kopieren, E-mail-Anmeldeinformationen zu stehlen und Zwischenablage erfassen. Die malware nutzt auch antidebugging mit SuppressIldasm und ConfuserEx 1.0, als auch als legitime Instrumente wie MailPassView und BrowserPassView hack Passwörter. Außerdem, antivirus-tools, task-manager, Eingabeaufforderung und registry, die Wiederherstellung service rstrui.exe deaktiviert Hawkeye, um zu vermeiden, Datei wiederherstellen.
Vorbeugende Maßnahmen Gegen Falkenauge ' s Angriffe
Unternehmen sind für den Anfang empfohlen Umstecken zu vermeiden destruktive Folgen nach keylogger-Kampagnen und ähnliche malspam-Angriffen (malware, geliefert wird per E-Mail-Nachrichten). Es geht um das Pareto-Prinzip: 20% von Sicherheitsfragen trigger über 80% der Sicherheit.
Security-Experten empfehlen auch die Umsetzung der vielschichtigen malspam Verteidigung, einschließlich E-Mail-Filter, endpoint protection und system hardening. Angesichts der Möglichkeit bestimmt, die Angreifern das umgehen dieser Maßnahmen, aber es ist auch eine gute Idee, um die Bereitstellung automatisierter incident response (IR -) Prozesse in der Lage die Analyse von E-Mails, extrahieren von Indikatoren der Kompromiss (IoCs) und aktualisieren alle filtern von Geräten und Dienstleistungen, die mit diesen Informationen.
Die vielschichtigen malspam Schutz wird dringend empfohlen, die von Sicherheits-Experten. E-Mail-Filter, endpoint protection und system-Härtung sind auch wichtig für Ihr system bleibt sicher und sicher. Unter Berücksichtigung der Möglichkeit, dass Angreifer zur Umgehung dieser Maßnahmen, Bereitstellung von automatisierten incident response (IR) - Prozesse mit der Fähigkeit zu analysieren, E-Mails, extrahieren von Indikatoren der Kompromiss (IoCs) und Aktualisierung aller Filterung von Geräten und Diensten wäre nicht fehl am Platz.
Autor: Keylogger.Org Team