Злоумышленники используют редактор уравнений для распространения кейлоггера Hawkeye
Недавно кампания кейлоггеров воспользовалась старой слабостью редактора уравнений Microsoft Office, чтобы украсть конфиденциальную информацию пользователей, пароли и содержимое буфера обмена.
Согласно отчету Quick Heal, хакеры использовали файлы Rich Text Format (RTF) для распространения вредоносной программы keylogger под названием Hawkeye. Эти RTF-файлы были либо изолированы, либо шли вместе с PDF-файлами, то есть были встроены в PDF-файлы с расширениями DOC.
Фишинговые электронные письма были основным инструментом, чтобы внедриться в устройства определенных лиц и предприятий. Таким образом, кампания остановилась на менее популярном способе воздействия-Редакторе уравнений Microsoft Office. Так называемый эксплойт “Hawkeye v8 Reborn” CVE-2017-11882, являющийся основной причиной переполнения буфера стека в Редакторе уравнений, использует динамически изменяемую строку имени шрифта. Если все пройдет без сучка и задоринки, хакеры смогут выполнять произвольный код и распространять полезные нагрузки.
Текущая версия Hawkeye Keylogger делает доступными дополнительные функции
Запутывание и уклонение-вот главные вещи для успеха Hawkeye. Редактор уравнений-это первое, с чего нужно начать: Microsoft обнаружила такие попытки в ноябре 2017 года, но до сих пор существует множество незафиксированных версий, с которыми приходится иметь дело специалистам.
Кроме того, кейлоггер Hawkeye умудряется оставаться незамеченным, выполняя компиляцию кода и загружая его полезную нагрузку в память, несмотря на запись его на диск. Таким образом, большинство специалистов по безопасности не могут обнаружить эту угрозу.
После установки полезной нагрузки кейлоггера киберпреступники получают доступ к многочисленным функциям, включая копирование протокола передачи файлов (FTP), кражу учетных данных почты и захват буфера обмена. Вредоносная программа также использует антидебуггинг с SuppressIldasm и ConfuserEx 1.0, а также законные инструменты, такие как MailPassView и BrowserPassView для взлома паролей. Кроме того, антивирусные средства, диспетчер задач, командная строка и реестр, служба восстановления rstrui.exe отключены Hawkeye, чтобы избежать восстановления файлов.
Превентивные меры против нападений Соколиного Глаза
Компаниям рекомендуется начать с исправления, чтобы избежать разрушительных последствий после кампаний кейлоггеров и подобных атак malspam (вредоносных программ, которые доставляются через сообщения электронной почты). Все дело в принципе Парето: 20% вопросов безопасности вызывают около 80% проблем безопасности.
Эксперты по безопасности также рекомендуют внедрить многоуровневую защиту malspam, включая фильтрацию электронной почты, защиту конечных точек и укрепление системы. Однако, учитывая способность определенных злоумышленников обойти эти меры, также неплохо развернуть автоматизированные процессы реагирования на инциденты (IR), способные анализировать электронные письма, извлекать индикаторы компромисса (IoCs) и обновлять все фильтрующие устройства и службы с помощью этой информации.
Многослойная защита от malspam настоятельно рекомендуется профессионалами в области безопасности. Фильтрация электронной почты, защита конечных точек и укрепление системы также необходимы для того, чтобы ваша система оставалась безопасной и надежной. Учитывая возможность злоумышленников обойти эти меры, развертывание автоматизированных процессов реагирования на инциденты (IR) с возможностью анализа электронных писем, извлечения индикаторов компрометации (IoCs) и обновления всех фильтрующих устройств и сервисов было бы не лишним.
Автор: Keylogger.Org Команда