Hawkeye часто устанавливается в пакете с другими вредоносными программами. Это троянец и кейлоггер, который используется для получения частной информации, такой как пароли и учетные данные для входа в систему. Это продвинутая вредоносная программа, обладающая сильными функциями защиты от вторжения.
Что такое вредоносная программа Hawkeye?
Hawkeye, также известный как Predator Pain, - это опасный троян и кейлоггер - вредоносная программа, используемая для кражи информации с ПК. Он обладает очень продвинутыми функциями уклонения от обнаружения и кражи информации. Hawkeye может быть объединен с другими вредоносными программами для кражи паролей из почтовых клиентов и веб-браузеров.
Доступный в качестве сервиса в темной паутине, Hawkeye может быть использован даже злоумышленниками, не обладающими техническими навыками. Кроме того, известно, что эта вредоносная программа некоторое время рекламировалась в Интернете на собственном сайте, который сегодня недоступен. Более того, создатели Hawkeye разработали уникальную бизнес-модель, в которой для перепродажи вредоносной программы используются посредники.
Общее описание Hawkeye
Кейлоггер Hawkeye способен похищать с ПК жертвы различную информацию, включая пароли от почтовых клиентов, веб-браузеров и данные биткоин-кошелька, как это делает ransomware. Кроме того, эта вредоносная программа может делать скриншоты, обладает функцией кейлоггера и извлекает данные из менеджера загрузок в Интернете, чтобы использовать JDownloader для кражи паролей.
Predator Pain нацелен на жертв по всему миру, но чаще всего его атаки регистрируются в странах с наиболее богатой экономикой, по данным GPD, таких как США, Канада, Италия и другие.
Кейлоггер Hawkeye использует сложную технику, чтобы оставаться скрытым от антивирусов, называемую process hollowing. По сути, троянец генерирует новый экземпляр безобидного процесса, чтобы впоследствии подменить родной код на вредоносный. 8 версия кейлоггера Hawkeye отличается от предыдущих итераций вредоносной программы. Вместо того чтобы запускать основной вредоносный код как новый процесс, последняя сборка внедряет полезную нагрузку в MSBuild.exe, RegAsm.exe и VBC.exe, которые являются частью .NET framework, что позволяет вирусу в дальнейшем маскироваться под реальный и безвредный процесс.
Еще одно отличие новейшей версии Predator Pain от более ранних заключается в том, что вместо того, чтобы быть написанной на языке C, теперь она использует .NET и вызывает родной Windows API напрямую.
Основной функцией кейлоггера Hawkeye является запись нажатий клавиш и мыши вместе с контекстом окна и данными буфера обмена. Кроме того, вредоносная программа имеет специальные модули, позволяющие ей извлекать информацию из определенных приложений, включая популярную видеоигру Minecraft, FTP-клиент FileZilla и другие.
Несколько стандартно Predator Pain использует настоящие инструменты BrowserPassView и MailPassView для сохранения данных из браузеров и электронной почты. Кроме того, вредоносная программа способна активировать и брать под контроль веб-камеру, если к зараженному компьютеру она подключена.
Чтобы предотвратить обнаружение и анализ, Hawkeye оснащен рядом средств защиты от вторжения, помимо процессов холлинга. Например, вредоносная программа устанавливает задержку перед выполнением, что помогает ей обмануть некоторые автоматизированные инструменты анализа "песочницы". Кроме того, вредоносная программа нацелена на определенные антивирусные процессы и останавливает их выполнение, а также блокирует доступ к нескольким доменам, используемым антивирусными программами для обновления.
Более того, вредоносная программа предпринимает активные действия, чтобы помешать жертве отключить собственные процессы, беря под контроль командную строку, редактор реестра и диспетчер задач. В то же время Hawkeye постоянно сканирует компьютер на наличие других вредоносных программ и мгновенно удаляет их в случае обнаружения.
Процесс выполнения Hawkeye
Кейлоггер Hawkeye обычно попадает на устройства пользователей через фишинговые электронные письма, чаще всего в виде вредоносного файла Microsoft Office, например, файла Docx. После того как пользователь открывает загруженный файл, он либо просит его включить макросы, либо использует уязвимости для загрузки и выполнения основной полезной нагрузки. В большинстве случаев он загружает себя в папку %AppData%. Для поддержания своего присутствия вредоносная программа добавляет себя в реестр автозапуска. Кроме того, для скрытия своего кода в легитимных процессах он использует "впаивание" процессов. Например, 8-я версия Hawkeye, представленная на видео с нашего симулятора, внедряется в MSBuild.exe, RegAsm.exe или VBC.exe. Перед отправкой информации на сервер управления Hawkeye сохраняет украденные данные в файлах Tmp в папке %Temp%. Обычно эти Tmp-файлы удаляются после отправки информации на сервер управления.
Как избежать заражения Hawkeye?
Соблюдение некоторых общих правил гигиены в Интернете - хороший способ уберечься от заражения Hawkeye. Кроме того, пользователи должны быть осторожны при загрузке бесплатного программного обеспечения с неизвестных или подозрительных веб-сайтов и тщательно проверять URL-адреса при загрузке любого программного обеспечения в целом.
Кроме того, получив подозрительное электронное письмо или письмо от неизвестного отправителя, пользователи должны быть осторожны при загрузке вложений. Хотя открывшийся документ предлагает пользователю включить макросы или активировать редактирование, пользователи никогда не должны следовать этим инструкциям, так как они, скорее всего, указывают на вредоносную природу файла.
Распространение Hawkeye
Троян Hawkeye использует несколько методов распространения, включая упаковку в бесплатные загружаемые программы или маскировку под легитимное программное обеспечение. Hawkeye также может быть установлен на ПК жертвы вручную, если злоумышленник получит удаленный или физический доступ к машине.
Однако наиболее распространенным методом распространения является фишинг электронной почты, как и в случае с выкупными программами, когда вредоносная программа распространяется в виде вредоносного вложения, обычно в виде документа Microsoft Word. Этот метод используется различными вредоносными программами, включая Ursnif и Raccoon. Известные фишинговые кампании обычно вращаются вокруг уведомлений о проблемах с реальным продуктом, запросов котировок, платежных поручений, случайных или личных, тревожных тем, направленных на то, чтобы обманом заставить жертву загрузить вложение.
В большинстве случаев Microsoft Office открывает документ с предупреждением, а Hawkeye выводит сообщение с предложением разрешить редактирование. Таким образом, пользователь должен взаимодействовать, чтобы заставить троян начать процесс выполнения. Однако в некоторых других случаях вредоносная программа использует эксплойты Microsoft Office, что позволяет Hawkeye начать выполнение без какого-либо взаимодействия с пользователем.
Заключение
Обладая чрезвычайно продвинутыми методами защиты от вторжений и надежными функциями кражи информации, Hawkeye представляет опасность для корпораций и частных лиц по всему миру. К сожалению, распространение вредоносного ПО как услуги позволяет даже не обладающим техническими знаниями киберпреступникам организовывать эффективные атакующие кампании, что способствует общей популярности вируса.
Кроме того, троян Hawkeye использует набор специальных приемов, чтобы усложнить анализ и обмануть автоматизированные аналитические службы, а также запутать разработку контрмер.