رفتن به محتوای اصلی
چهارشنبه ۲۷ شهریور ۱۳۹۸
.

دسته بندی اخبار

دسته بندی عمومی

حملات بد‌افزار ثبت‌کننده صفحه کلید HawkEye به کسب‌و‌کارها

حملات بد‌افزار ثبت‌کننده صفحه کلید HawkEye به کسب‌و‌کارها

در دو ماه گذشته حملات جدیدی در سطح جهان گزارش شده‌است که روی کاربران حوزه کسب‌وکار تمرکز دارد و با استفاده از بد‌افزار ثبت‌کننده صفحه کلید (keylogger‏) HawkEye انجام شده‌است.

 در این عملیات از ایمیل‌های اسپم استفاده شده‌است که سازمان‌های بخش‌های مختلف ازجمله حمل‌ونقل و لجستیک، سلامت، واردات و صادرات، بازاریابی، کشاورزی و غیره مورد هدف قرار گرفته‌اند.

به گفته پژوهشگران، بدافزار HawkEye به‌منظور سرقت اطلاعات از دستگاه‌های آلوده طراحی شده‌است، اما از این بدافزار می‌توان به‌عنوان بارگذاری‌کننده سایر بدافزارها از بات‌نت‌ها نیز بهره‌برداری کرد. هدف از انتشار این بدافزار ثبت‌کننده صفحه کلید، سرقت اطلاعات احرازهویت و داده‌های حساس کاربران است. به‌طور دقیق‌تر در این عملیات از HawkEye Reborn v۸,۰ و HawkEye Reborn v۹.۰ استفاده شده که در پیوست ایمیل‌های اسپم برای کاربران ارسال شده‌است.

پیوست ایمیل‌ها یک فایل صورت‌حساب جعلی است که زمانی که کاربر اقدام به بازکردن آن کند، فایل mshta.exe منتقل می‌شود. برای اتصال به سرور کنترل و فرمان (C&C)، این فایل از PowerShell استفاده و بدافزار در ادامه payloadهای دیگری را نیز منتقل می‌کند.

کسب پایداری در سیستم قربانی با کمک اسکریپت AutoIt انجام می‌شود. این اسکریپت در قالب یک فایل اجرایی با نام gvg.exe به ورودی‌های AutoRun در رجیستری ویندوز اضافه می‌شود. درنتیجه در هر‌بار راه‌اندازی مجدد سیستم، بدافزار به‌طور خودکار اجرا می‌شود. همچنین پژوهشگران متوجه فایلی با نام AAHEP.txt شدند که تمامی دستورالعمل‌های مرتبط با بدافزار ثبت‌کننده صفحه کلید Hawkeye در آن قرار دارد.

ثبت‌کننده صفحه کلید و سارق اطلاعات Hawkeye از سال ۲۰۱۳ درحال توسعه بوده و در این سال‌ها به منظور افزایش قابلیت‌های سرقت اطلاعات و نظارت بر قربانی، ویژگی‌ها و ماژول‌های جدیدی به آن افزوده شده‌است. فروش این بدافزار در بازار وب تاریک و فروم‌های هک انجام می‌شود. آخرین نسخه این بدافزار، HawkEye Reborn v۹ است که می‌تواند اطلاعات را از برنامه‌های مختلف دریافت کند و سپس از طریق پروتکل‌هایی مانند FTP، HTTP و SMTP آنها را برای اپراتورهای خود ارسال کند.

 

 

منبع : مرکز مدیریت راهبردی افتا

۴۹