Novas campanhas de spam são usadas para distruição do keylogger HawkEye

Pesquisadores de segurança da divisão Talos da Cisco detectaram novas campanhas de spam usadas para distribuição do keylogger HawkEye.

Keylogger HawkEye

Embora o desenvolvimento do keylogger esteja ativo desde 2013, em dezembro passado um post publicado em um fórum dedicado a comunidade de hacking deu a entender que o HawkEye tem um novo dono.

Tempos depois outros posts em diversos outros fóruns começaram a promover o “HawkEye Reborn v9”, que conta com novos recursos que visam dificultar sua detecção por soluções de segurança.

Esta nova versão é vendida através de um modelo de licenciamento, que permite que os compradores tenham acesso ao software e futuras atualizações com base na licença adquirida:

Além do novo modelo de venda, os pesquisadores da divisão Talos da Cisco detectaram no final de 2018 e agora em 2019 novas campanhas de spam usadas para distribuição da versão mais recente do keylogger HawkEye.

Estas novas campanhas incluem mensagens que parecem pedir por recibos, confirmações de pedidos e assuntos similares.

As mensagens incluem anexos maliciosos em formatos como .xlsx (do Microsoft Excel) que exploram a vulnerabilidade CVE-2017-11882 no Microsoft Office. Os anexos também podem em vir em formatos como RTF e Doc:

A vulnerabilidade mencionada acima foi corrigida em novembro de 2017 pela Microsoft, mas muitos deixaram de instalar a correção.

Quando a vítima clica no anexo, o conteúdo da mensagem será ofuscado de propósito pelos criminosos e será pedido que ela habilite a edição do documento para poder visualizá-lo corretamente.

Ao fazer isso o processo de download do keylogger HawkEye tem início.

O malware passará a coletar dados como informações do sistema, senhas armazenadas pelos navegadores, conteúdo da área de transferência, capturas de tela da área de trabalho, fotos tiradas com a webcam e credenciais de login.