Кейлоггер HawkEye используется для атак бизнеса по всему миру

Кейлоггер HawkEye используется для атак бизнеса по всему миру

Кейлоггер HawkEye используется для атак бизнеса по всему миру

Киберпреступники на протяжении последних двух месяцев атакуют бизнес по всему миру. При этом в ходе атак злоумышленники используют кейлоггер HawkEye. Об этом говорит отчет, опубликованный исследователями IBM X-Force.

В апреле и мае были зафиксированы рассылки вредоносных электронных писем различным организациям, чья деятельность касалась здравоохранения, рекламы, импорта и экспорта и сельского хозяйства.

«HawkEye разработан с целью кражи информации с устройства пользователя, но он также способен выполнять функции загрузчика дополнительных вредоносных программ на атакуемый компьютер», — пишет команда исследователей IBM X-Force.

Как уже было отмечено выше, кейлоггер доставляется на атакуемое устройство посредством вредоносных электронных писем, которые рассылаются корпоративным пользователям. Основная задача HawkEye — собрать как учетные данные, так и другую конфиденциальную информацию, которая впоследствии может быть использована для компрометации корпоративной почты или получения контроля над аккаунтами.

Злоумышленники использовали для рассылки вредоноса сервер, расположенный в Эстонии. Письма были замаскированы под отправленные банками или легитимными компаниями уведомления. При этом распространялись две версии кейлоггера — HawkEye Reborn v8.0 и HawkEye Reborn v9.0.

Эксперты отметили, что киберпреступники не сильно старались придать письмам легитимный вид — отсутствовали какие-либо логотипы банков или компаний, а также сам текст и контент вызывали сомнения.

Android-троян Glitch SPY превращает смартфоны в шпионский пульт

Исследователи обнаружили новую Android-платформу для удалённого доступа под названием Glitch SPY, которая распространяется через фейковый сайт аренды квартир и домов. Пользователю предлагают скачать приложение для бронирования и связи с владельцами жилья, а на деле подсовывают вредоносный APK.

Схема начинается с загрузчика Brokewell Android Loader. Он показывает вполне правдоподобный интерфейс сервиса аренды, просит разрешить установку из неизвестных источников, а затем незаметно разворачивает на устройстве Glitch SPY.

Главный рычаг управления — злоупотребление специальными возможностями Android (Accessibility Service). После выдачи этих прав троян получает почти полный контроль над смартфоном: может читать содержимое экрана, нажимать кнопки, выполнять жесты, подтверждать разрешения, взаимодействовать с экраном блокировки и помогать операторам проводить мошеннические операции прямо с устройства жертвы.

По данным Cyble, Glitch SPY поддерживает более 70 команд. Среди них есть, например, трансляция экрана, скриншоты, кейлоггинг, кража СМС и контактов, отслеживание геолокации, запись с камеры и микрофона, управление файлами, выполнение шелл-команд и изменение настроек администрирования устройства.

 

Отдельная неприятность — встроенный клиппер. Если пользователь копирует адрес криптокошелька, вредонос распознает популярные форматы Bitcoin, Ethereum, TRON и других сетей, после чего подменяет адрес на кошелек злоумышленников. Перевод вроде бы отправлен куда надо, но деньги уезжают совсем не туда.

Еще одна опасная функция — скрытый браузер на базе WebView. Атакующие могут открывать сайты, заполнять формы, нажимать элементы и выполнять JavaScript с IP-адреса жертвы и с ее активными сессиями. Для антифрода это выглядит куда убедительнее, чем вход с чужого устройства.

Исследователи также нашли админ-панели с брендингом Glitch SPY, что указывает на инфраструктуру билдера. Операторы могут менять название приложения, пакет, иконку, страницу, набор функций и уведомления в Telegram.

RSS: Новости на портале Anti-Malware.ru