This is a machine translation. The original page (in English) is available here.
Главная> > Мировые новости> > Злоумышленники используют редактор уравнений для распространения кейлоггер Hawkeye
Лучшие кейлоггеры
Посмотреть еще...

Злоумышленники используют редактор уравнений для распространения кейлоггер Hawkeye

  •  
Пользовательский рейтинг: 5-2 голосов

Недавно кампания keylogger воспользовалась старой слабостью редактора уравнений Microsoft Office, чтобы украсть конфиденциальную информацию пользователя, пароли и содержимое буфера обмена.


Согласно отчету Quick Heal, хакеры использовали файлы Rich Text Format (RTF) для распространения вредоносной программы keylogger по имени Hawkeye. Эти файлы RTF были либо изолированы, либо пришли вместе с PDF-файлами, т. е. были встроены в PDF-файлы с расширениями DOC.


Фишинговые письма были главным инструментом для укоренения в устройствах определенных физических лиц и предприятий. Таким образом, кампания остановилась на менее популярном способе воздействия-Редакторе уравнений Microsoft Office. Так называемый” Hawkeye v8 Reborn " exploit CVE-2017-11882, который является основной причиной переполнения буфера стека в Редакторе уравнений, использует динамически изменяемую строку имени шрифта. Если все пройдет без сучка и задоринки, хакеры смогут выполнять произвольный код и распространять полезные данные.


Текущая версия Hawkeye Keylogger делает дополнительные функции доступными


Запутывание и уклонение-это главные вещи для успеха Hawkeye. Редактор уравнений-это первое, с чего нужно начать: Microsoft обнаружила такие попытки в ноябре 2017 года, но все еще есть множество незафиксированных версий, с которыми приходится иметь дело специалистам.


Кроме того, кейлоггер Hawkeye удается остаться незамеченным путем выполнения компиляции кода и загрузки его полезной нагрузки в памяти, несмотря на запись его на диск. Таким образом, большинство специалистов по безопасности не могут обнаружить эту угрозу.


После установки полезной нагрузки кейлоггер, киберпреступники получают доступ к многочисленным функциям, в том числе протокол передачи файлов (FTP) копирования, кражи учетных данных почты и захвата буфера обмена. Вредоносная программа также использует антидебугинг с SuppressIldasm и ConfuserEx 1.0, а также законные инструменты, такие как MailPassView и BrowserPassView для взлома паролей. Кроме того, антивирусные средства, диспетчер задач, командная строка и реестр, служба восстановления rstrui.exe отключены Hawkeye, чтобы избежать восстановления файлов.


Превентивные меры против нападений ястреба


Компаниям рекомендуется начать с исправления, чтобы избежать разрушительных последствий после кейлоггерских кампаний и подобных атак malspam (вредоносных программ, которые доставляются по электронной почте). Все дело в принципе Парето: 20% вопросов безопасности вызывают около 80% проблем безопасности.


Эксперты по безопасности также рекомендуют реализовать многоуровневую защиту malspam, включая фильтрацию электронной почты, защиту конечных точек и системное упрочнение. Учитывая способность определенных злоумышленников обойти эти меры, однако, это также хорошая идея для развертывания автоматизированных процессов реагирования на инциденты (IR), способных анализировать электронные письма, извлекать индикаторы компромисса (IoCs) и обновлять все фильтрующие устройства и службы с этой информацией.


Многослойная защита malspam настоятельно рекомендуется специалистами по безопасности. Фильтрация электронной почты, защита конечных точек и укрепление системы также необходимы для того, чтобы ваша система оставалась безопасной и надежной. Учитывая возможность злоумышленников обойти эти меры, развертывание автоматизированных процессов реагирования на инциденты (IR) с возможностью анализа электронных писем, извлечения показателей компрометации (IoCs) и обновления всех фильтрующих устройств и сервисов было бы не лишним.


Дата публикации:
Автор:
Главная> > Мировые новости> > Злоумышленники используют редактор уравнений для распространения кейлоггер Hawkeye
Очень важно! Установка средств мониторинга компьютера на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.