Microsoft опубликовала результаты анализа апрельской спам-кампании, нацеленной на распространение новой версии кейлоггера Hawkeye. Хотя этот зловред носит имя Hawkeye Keylogger – Reborn v8 (reborn — возрожденный), он был модернизирован: авторы снабдили его самыми современными средствами самозащиты, а также дополнительными модулями для кражи учетных данных из приложений и выполнения других действий, несвойственных клавиатурным шпионам.

Hawkeye существует на черном рынке с 2014 года; этот коммерческий продукт предоставляется в пользование как услуга. В Интернете зловред последний раз засветился в 2016 году в ходе масштабной киберкампании, нацеленной на кражу конфиденциальной информации финансового характера.

После этого Hawkeye почти совсем исчез с радаров ИБ-исследователей и вновь объявился лишь несколько месяцев назад. В конце апреля Microsoft зафиксировала рассылку спама с вложениями, запускающими цепочку заражения Hawkeye. Windows Defender, входящий в состав защитного решения Office 365 ATP, успешно блокировал вредоносные файлы. Данные, собранные этими защитными решениями в ходе спам-рассылок, позволили экспертам составить представление и о самой кампании, и об обновленном кейлоггере.

Как оказалось, более половины вредоносных сообщений, обнаруженных Microsoft, были адресованы представителям IT-индустрии. В список основных мишеней входили также банки (11%), электроэнергетические компании (8%), химико-технологические и автомобилестроительные предприятия (по 5%). Вредоносные письма распространялись как минимум в 40 странах, но чаще — в ОАЭ (19%), Нидерландах (15%) и США (11%).

К новой операции злоумышленники начали готовиться еще в феврале: с помощью купленного билдера создали несколько образцов Hawkeye и конфигурационные файлы, скомпоновали вредоносные документы Word, скрыли вредоносный код кастомным упаковщиком и зарегистрировали четыре домена для доставки зловреда.

Распространяемые в ходе этой кампании спам-сообщения были замаскированы под деловую переписку и содержали вложенный файл .doc — на поверку этот вредоносный документ оказался выполненным в формате Office Open XML (.docx). Совокупно исследователи насчитали четыре разные темы письма и пять видов вложений.

При открытии вредоносного документа получателя просят активировать макрос. Если это сделать, последует многоступенчатая атака, в которой задействованы использующий ссылку bit.ly редиректор, VBScript и скрипты PowerShell. Целевой зловред загружается в папку C:\Users\Public\ под именем svchost32.exe и запускается на исполнение.

Эта обфусцированная сборка .NET, именуемая Millionare, в распакованном виде содержит несколько DLL, встроенных как ресурсы в исполняемый файл PE. Одна из библиотек, инициирующая вредоносную активность, загружается в память с использованием process hollowing — техники внедрения кода, предполагающей запуск нового экземпляра легитимного процесса и замену легитимного кода вредоносным. Исследователи отметили, что Hawkeye седьмой версии загружал основной компонент в собственный процесс, а восьмая версия производит инъекцию в MSBuild.exe, RegAsm.exe и VBC.exe — подписанные исполняемые модули, поставляемые вместе с фреймворком .NET.

Как показал анализ, обновленный кейлоггер способен воровать учетные данные из приложений Beyluxe Messenger, Core FTP, FileZilla и Minecraft, а также из браузера и почтового клиента. Кроме того, он умеет делать скриншоты, пользоваться веб-камерой и заходить на рекламные сайты, позволяя своим хозяевам получать дополнительный доход от накрутки трафика в рамках партнерских программ.

Для обхода песочниц в Hawkeye 8 предусмотрена опция отложенного исполнения. Оперируя вшитыми списками, зловред блокирует антивирусы и другие защитные средства, а также доступ к их доменам и службам обновлений. Чтобы защитить свои процессы, Hawkeye отключает командную строку, редактор системного реестра и диспетчер задач. Конкуренции он не терпит: постоянно проверяет реестр, убирая чужие ключи, завершает ассоциируемые с ними процессы и удаляет соответствующие файлы.

Категории: Аналитика, Вредоносные программы, Спам