This is a machine translation. The original page (in English) is available here.

Последние мировые новости: года-Почему США рассматривают возможность запрета TikTok RSS-канал

Главная> > Мировые новости> > Злоумышленники используют редактор уравнений для распространения кейлоггера Hawkeye
Лучшие кейлоггеры
Посмотреть еще...

Злоумышленники используют редактор уравнений для распространения кейлоггера Hawkeye

  •  
Рейтинг пользователя: 5-2 голоса

Недавно кампания кейлоггеров воспользовалась старой слабостью редактора уравнений Microsoft Office, чтобы украсть конфиденциальную информацию пользователей, пароли и содержимое буфера обмена.


Согласно отчету Quick Heal, хакеры использовали файлы Rich Text Format (RTF) для распространения вредоносной программы keylogger под названием Hawkeye. Эти RTF-файлы были либо изолированы, либо шли вместе с PDF-файлами, то есть были встроены в PDF-файлы с расширениями DOC.


Фишинговые электронные письма были основным инструментом, чтобы внедриться в устройства определенных лиц и предприятий. Таким образом, кампания остановилась на менее популярном способе воздействия-Редакторе уравнений Microsoft Office. Так называемый эксплойт “Hawkeye v8 Reborn” CVE-2017-11882, являющийся основной причиной переполнения буфера стека в Редакторе уравнений, использует динамически изменяемую строку имени шрифта. Если все пройдет без сучка и задоринки, хакеры смогут выполнять произвольный код и распространять полезные нагрузки.


Текущая версия Hawkeye Keylogger делает доступными дополнительные функции


Запутывание и уклонение-вот главные вещи для успеха Hawkeye. Редактор уравнений-это первое, с чего нужно начать: Microsoft обнаружила такие попытки в ноябре 2017 года, но до сих пор существует множество незафиксированных версий, с которыми приходится иметь дело специалистам.


Кроме того, кейлоггер Hawkeye умудряется оставаться незамеченным, выполняя компиляцию кода и загружая его полезную нагрузку в память, несмотря на запись его на диск. Таким образом, большинство специалистов по безопасности не могут обнаружить эту угрозу.


После установки полезной нагрузки кейлоггера киберпреступники получают доступ к многочисленным функциям, включая копирование протокола передачи файлов (FTP), кражу учетных данных почты и захват буфера обмена. Вредоносная программа также использует антидебуггинг с SuppressIldasm и ConfuserEx 1.0, а также законные инструменты, такие как MailPassView и BrowserPassView для взлома паролей. Кроме того, антивирусные средства, диспетчер задач, командная строка и реестр, служба восстановления rstrui.exe отключены Hawkeye, чтобы избежать восстановления файлов.


Превентивные меры против нападений Соколиного Глаза


Компаниям рекомендуется начать с исправления, чтобы избежать разрушительных последствий после кампаний кейлоггеров и подобных атак malspam (вредоносных программ, которые доставляются через сообщения электронной почты). Все дело в принципе Парето: 20% вопросов безопасности вызывают около 80% проблем безопасности.


Эксперты по безопасности также рекомендуют внедрить многоуровневую защиту malspam, включая фильтрацию электронной почты, защиту конечных точек и укрепление системы. Однако, учитывая способность определенных злоумышленников обойти эти меры, также неплохо развернуть автоматизированные процессы реагирования на инциденты (IR), способные анализировать электронные письма, извлекать индикаторы компромисса (IoCs) и обновлять все фильтрующие устройства и службы с помощью этой информации.


Многослойная защита от malspam настоятельно рекомендуется профессионалами в области безопасности. Фильтрация электронной почты, защита конечных точек и укрепление системы также необходимы для того, чтобы ваша система оставалась безопасной и надежной. Учитывая возможность злоумышленников обойти эти меры, развертывание автоматизированных процессов реагирования на инциденты (IR) с возможностью анализа электронных писем, извлечения индикаторов компрометации (IoCs) и обновления всех фильтрующих устройств и сервисов было бы не лишним.


Дата публикации:
Автор:
Главная> > Мировые новости> > Злоумышленники используют редактор уравнений для распространения кейлоггера Hawkeye
Важно! Установка средств компьютерного мониторинга на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.