- A+
声称直接来自世卫组织Tedros Adhanom Ghebreyesus博士的电子邮件提供了“药物建议”以及恶意软件感染。
HawkEye键盘记录恶意软件的新变种进行了巡回演出,具有扩展的信息窃取功能。 它的运营商正在寻找新的冠状病毒周围的时代精神。 它使用垃圾邮件进行分发,该邮件似乎是来自世界卫生组织(WHO)总干事的“警报”。
据IBM X-Force研究人员称,电子邮件活动于周四开始,并已多次展开。 该公司的研究人员在周五的一篇帖子中说,这些邮件声称直接来自世卫组织的Tedros Adhanom Ghebreyesus博士,提供了有关COVID-19感染的最新信息和药物建议。 邮件使用邮件正文中的称呼进行个性化设置,其中包含从电子邮件地址中删除的用户名。
自2013年以来,HawkEye键盘记录器一直在持续开发中,但确实在2018年12月所有权发生了变化 ,并且自那时以来特别复苏。 “ HawkEye Reborn v9”在整个2019年都可以看到,它具有更新的反检测功能和新的许可模式-即,购买者可以使用分层定价模型来访问软件和将来的更新。
研究人员去年对Threatpost说:“ HawkEye Reborn键盘记录器/窃取者的当前开发人员正在不断增加对不同应用程序和软件平台的支持,以促进盗窃敏感信息和帐户凭据。” “该恶意软件最近发生了混淆的方式发生变化,并且还实施了其他反分析技术。”
本周发现的变种被X-Force称为“ CURE.exe”。 除了按键记录之外,新示例还能够从浏览器和电子邮件客户端窃取凭据,包括:Mozilla; 邮箱; 雷鸟; 海猴子; 群; 黑鹰; CyberFox; KMeleon; 冰猫; 苍白的月亮; 冰龙; 和WaterFox。 它还可以捕获屏幕截图。
一旦凭据和其他数据被捕获,它们就会被加密并通过SMPT协议(电子邮件)发送给操作员。 他们已经在恶意软件中编写了电子邮件地址和密码,以自动传送被盗信息。
引擎盖下
HawkEye感染始于加载程序,该加载程序是一个.NET可执行文件,被ConfuserEx和Cassandra保护程序结合使用。 从那里开始,使用多个其他层来进一步避免分析和检测。
研究人员解释说:“一旦执行,它将搜索并执行另一个.NET可执行文件网络Interfaces2..dll,并在其资源部分中加载位图图像rgXREoRSAprmgvAqTsKhilTYhemNa .png。”
第二个可执行文件的任务是读取位图图像,以便从中提取编码的汇编代码。
分析称:“图像从上至下按列进行解析,从最左边的列开始一直到右边。” 对于由此遇到的每个像素,如果它们的颜色(包括alpha通道)与像素的颜色不同,则(0,0)或在左上角,将三个字节添加到有效载荷数组中。 这三个字节的顺序是:像素的红色,绿色和蓝色通道。”
提取代码后,可执行文件将位图图像的前16个字节用作XOR键,以解码其余图像。
解码的有效载荷是另一个.NET可执行文件,称为“ ReZer0V2.exe”。 这将通过更改各种注册表项来关闭Windows Defender。 然后,它运行PowerShell命令以发现受感染计算机的Windows Defender扫描和更新首选项,然后将其关闭。
研究人员解释说,在检查了VM和沙箱之后,该示例使用了过程挖空将其有效负载注入到.NET Framework目录的文件中。 最后的有效负载是实际的HawkEye键盘记录程序。
有趣的是,该最新变体还可以从硬编码URL(ypsmKO_com)下载其他恶意软件。
分析称:“受害者一旦感染了键盘记录器,将面临重要个人信息的丢失。” “一旦他们的财务信息被窃取和暴露,这将带来更大的破坏性后果。”
至于利用冠状病毒的恐惧来吸引受害者,这种策略是一种滚雪球的社会工程策略,随着大流行的继续蔓延,研究人员越来越多地看到这种策略。 攻击者继续利用以冠状病毒为主题的网络攻击 -包括恶意软件攻击 ,诱骗诱骗的URL,凭据填充欺诈甚至APT活动 。
在Threatpost最近的一次民意调查中 ,这些公司中有40%的公司报告说,由于它们使远程工作成为可能,因此网络攻击有所增加,大多数攻击都集中在以疾病为主题的网络钓鱼和垃圾邮件上。
“不幸的是,随着冠状病毒大流行的发生,它只会诱使罪犯增加其社会工程和网络钓鱼电子邮件诈骗,并利用虚假信息来针对人们的恐惧,” KnowBe4安全意识倡导者James McQuiggan说。 “犯罪分子依靠人们的恐惧来获取信息,并诱使他们打开附件或单击链接以将恶意软件加载到他们的系统上,从而使其系统受到威胁。”
他补充说:“建议人们警惕这些类型的骗局,而忽略与此类信息有关的电子邮件,而应依赖可信赖的来源和组织来提供与这种大流行有关的准确信息。”
