در دو ماه گذشته حملات جدیدی در سطح جهان گزارش شدهاست که روی کاربران حوزه کسبوکار تمرکز دارد و با استفاده از بدافزار ثبتکننده صفحه کلید (keylogger) HawkEye انجام شدهاست.
۰
منبع : مرکز مدیریت راهبردی افتا
در دو ماه گذشته حملات جدیدی در سطح جهان گزارش شدهاست که روی کاربران حوزه کسبوکار تمرکز دارد و با استفاده از بدافزار ثبتکننده صفحه کلید (keylogger) HawkEye انجام شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در این عملیات از ایمیلهای اسپم استفاده شدهاست که سازمانهای بخشهای مختلف ازجمله حملونقل و لجستیک، سلامت، واردات و صادرات، بازاریابی، کشاورزی و غیره مورد هدف قرار گرفتهاند.
به گفته پژوهشگران، بدافزار HawkEye بهمنظور سرقت اطلاعات از دستگاههای آلوده طراحی شدهاست، اما از این بدافزار میتوان بهعنوان بارگذاریکننده سایر بدافزارها از باتنتها نیز بهرهبرداری کرد. هدف از انتشار این بدافزار ثبتکننده صفحه کلید، سرقت اطلاعات احرازهویت و دادههای حساس کاربران است. بهطور دقیقتر در این عملیات از HawkEye Reborn v۸,۰ و HawkEye Reborn v۹.۰ استفاده شده که در پیوست ایمیلهای اسپم برای کاربران ارسال شدهاست.
پیوست ایمیلها یک فایل صورتحساب جعلی است که زمانی که کاربر اقدام به بازکردن آن کند، فایل mshta.exe منتقل میشود. برای اتصال به سرور کنترل و فرمان (C&C)، این فایل از PowerShell استفاده و بدافزار در ادامه payloadهای دیگری را نیز منتقل میکند.
کسب پایداری در سیستم قربانی با کمک اسکریپت AutoIt انجام میشود. این اسکریپت در قالب یک فایل اجرایی با نام gvg.exe به ورودیهای AutoRun در رجیستری ویندوز اضافه میشود. درنتیجه در هربار راهاندازی مجدد سیستم، بدافزار بهطور خودکار اجرا میشود. همچنین پژوهشگران متوجه فایلی با نام AAHEP.txt شدند که تمامی دستورالعملهای مرتبط با بدافزار ثبتکننده صفحه کلید Hawkeye در آن قرار دارد.
ثبتکننده صفحه کلید و سارق اطلاعات Hawkeye از سال ۲۰۱۳ درحال توسعه بوده و در این سالها به منظور افزایش قابلیتهای سرقت اطلاعات و نظارت بر قربانی، ویژگیها و ماژولهای جدیدی به آن افزوده شدهاست. فروش این بدافزار در بازار وب تاریک و فرومهای هک انجام میشود. آخرین نسخه این بدافزار، HawkEye Reborn v۹ است که میتواند اطلاعات را از برنامههای مختلف دریافت کند و سپس از طریق پروتکلهایی مانند FTP، HTTP و SMTP آنها را برای اپراتورهای خود ارسال کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در این عملیات از ایمیلهای اسپم استفاده شدهاست که سازمانهای بخشهای مختلف ازجمله حملونقل و لجستیک، سلامت، واردات و صادرات، بازاریابی، کشاورزی و غیره مورد هدف قرار گرفتهاند.
به گفته پژوهشگران، بدافزار HawkEye بهمنظور سرقت اطلاعات از دستگاههای آلوده طراحی شدهاست، اما از این بدافزار میتوان بهعنوان بارگذاریکننده سایر بدافزارها از باتنتها نیز بهرهبرداری کرد. هدف از انتشار این بدافزار ثبتکننده صفحه کلید، سرقت اطلاعات احرازهویت و دادههای حساس کاربران است. بهطور دقیقتر در این عملیات از HawkEye Reborn v۸,۰ و HawkEye Reborn v۹.۰ استفاده شده که در پیوست ایمیلهای اسپم برای کاربران ارسال شدهاست.
پیوست ایمیلها یک فایل صورتحساب جعلی است که زمانی که کاربر اقدام به بازکردن آن کند، فایل mshta.exe منتقل میشود. برای اتصال به سرور کنترل و فرمان (C&C)، این فایل از PowerShell استفاده و بدافزار در ادامه payloadهای دیگری را نیز منتقل میکند.
کسب پایداری در سیستم قربانی با کمک اسکریپت AutoIt انجام میشود. این اسکریپت در قالب یک فایل اجرایی با نام gvg.exe به ورودیهای AutoRun در رجیستری ویندوز اضافه میشود. درنتیجه در هربار راهاندازی مجدد سیستم، بدافزار بهطور خودکار اجرا میشود. همچنین پژوهشگران متوجه فایلی با نام AAHEP.txt شدند که تمامی دستورالعملهای مرتبط با بدافزار ثبتکننده صفحه کلید Hawkeye در آن قرار دارد.
ثبتکننده صفحه کلید و سارق اطلاعات Hawkeye از سال ۲۰۱۳ درحال توسعه بوده و در این سالها به منظور افزایش قابلیتهای سرقت اطلاعات و نظارت بر قربانی، ویژگیها و ماژولهای جدیدی به آن افزوده شدهاست. فروش این بدافزار در بازار وب تاریک و فرومهای هک انجام میشود. آخرین نسخه این بدافزار، HawkEye Reborn v۹ است که میتواند اطلاعات را از برنامههای مختلف دریافت کند و سپس از طریق پروتکلهایی مانند FTP، HTTP و SMTP آنها را برای اپراتورهای خود ارسال کند.
کد مطلب : 15413
https://aftana.ir/vdcdso0f.yt0kf6a22y.htmlaftana.ir/vdcdso0f.yt0kf6a22y.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵