Keylogger惡意程式「HawkEye」易手後再度活躍

惡意程式有時會和普通的應用程式一樣,所有權易手後進行新開發,重新活躍於市場之內。這次的主角就是 Keylogger 惡意程式「HawkEye」,它被研究人員在多個惡意電郵活動之中出現,並預期它在未來將會日漸活躍。

易手後再次活躍
隨著 HawkEye 的所有權在近期易手,惡意程式套件和資料盜竊工具在多個散播惡意程式的活動中被發現。HawkEye 早在 2013 年已經出現,在去年 12 月在一個駭客網站上出現公告通知所有權易手,之後每個討論區出現,推銷新版本套件「HawkEye Reborn v9」,並標榜新的反偵測功能和其他變更。

研究人員認為,從所有權易手後在開發方面的付出,可以預期它會持續發展和改良,長久以來 HawkEye 活躍於網絡威脅的領域,似乎只要這工具套件能為開發人員帶來利潤都會繼續下去。

不同授權分類自稱「先進監控方案」
最新版本的 HawkEye 透過授權的形式出售,買家基於不同的價錢,取得軟件的使用權和將來的更新,並在駭客網站上以「先進監控方案」自居。研究人員表示,現在的開發人員積極增加惡意程式對不同應用程式和軟件平台的支援,目標是盜取敏感資料和帳號登入資料,甚至加入混淆和反分析技術到程式之內。現時程式存在服務條款,賣方聲程 Keylogger 應該用在許可的系統上,並明確禁止使用防毒軟件對 HawkEye Reborn v9 進行掃瞄,此外還具備反除蟲和關閉防毒相關程式的功能。

出現在多個釣魚電郵活動
在 2018 底至 2019 年間,有多個釣魚電郵活動都涉及 HawkEye Reborn v9,這些惡意電郵活動的訊息通常包括要求發票、材料的收據、確定訂單和其他日常商業活動相關的項目,然而電郵其實含有惡意的 Excel 附件 (使用漏洞 CVE-2017-11882) 或 RTF 和 Doc 檔案。

當受害者點擊附件,電郵發佈者故意把內容文件看起來很模糊,然後向用戶提示啟動編輯功能觀看清晰內容,用戶信以為真便會開始感染程序,下載 HawkEye Keylogger。惡意程式會盜取敏感資料,例如系統資訊、瀏覽器密碼、剪貼板上的內容、桌面撮圖、網絡攝影機畫面和帳號登入資料等等。

降低「門檻」更易使用
研究人員認為 HawkEye 會持續進化的另一個原因,是惡意工具套件降低了「入門」門檻,罪犯無需具備電腦編程的技術或深入的電腦科學專業,也能夠發動精密的入侵,現時它是網絡罪犯地下世界的商品。

資料來源:ThreatPost