HawkEye Malware Operators renouvelle les attaques contre les utilisateurs professionnels

HawkEye Malware Operators renouvelle les attaques contre les utilisateurs professionnels

Les chercheurs d’IBM X-Force font état d’une augmentation des campagnes d’infection par le keylogger HawkEye v9 visant des entreprises du monde entier. Lors des campagnes observées par X-Force en avril et en mai 2019, le programme malveillant HawkEye visait principalement à cibler les utilisateurs professionnels, dans le but de les infecter avec un programme malveillant avancé de keylogging pouvant également télécharger des programmes malveillants supplémentaires sur leurs appareils. Les industries ciblées lors des campagnes d’avril 2019 observées par X-Force comprenaient le transport et la logistique, la santé, l’importation et l’exportation, le marketing, l’agriculture et autres.

HawkEye est conçu pour voler des informations sur les appareils infectés, mais il peut également être utilisé comme chargeur, en exploitant ses réseaux de zombies pour extraire d’autres logiciels malveillants dans l’appareil en tant que service destiné à des acteurs tiers de la cybercriminalité. Une telle monétisation par les réseaux de zombies est plutôt courante de nos jours, plusieurs gangs collaborant les uns avec les autres pour maximiser leurs profits potentiels.

Reborn … Encore une fois

HawkEye existe depuis six ans. Il s’agit d’une offre commerciale colportée dans le Web sombre par une équipe de développement et de support technique qui améliore continuellement son code, ajoute des modules et le complète avec des fonctionnalités furtives. En 2018, après une accalmie de l’activité en 2017, HawkEye était de retour avec une nouvelle version et son nouveau nom: Hawkeye Reborn v8.

Mais si HawkEye a débuté avec un «propriétaire» au cours de ses premières années, il a finalement été vendu en décembre 2018 à un nouveau propriétaire, un acteur du pseudonyme en ligne CerebroTech. Ce dernier a changé le numéro de version en HawkEye Reborn v9.0, mis à jour les conditions de service pour la vente du logiciel malveillant et le distribue actuellement sur le Web sombre et par le biais de revendeurs. CerebroTech semble publier régulièrement des correctifs sur les logiciels malveillants afin de servir les acheteurs douteux dans les enclaves les plus sombres du Web.

La cible: utilisateurs professionnels

Après avoir analysé les messages malspam distribuant HawkEye, les chercheurs de X-Force peuvent constater que les opérateurs derrière la campagne ciblent les utilisateurs professionnels. Dans le domaine de la cybercriminalité, la plupart des acteurs de la menace motivés par des considérations financières se concentrent sur les entreprises car ils peuvent réaliser des bénéfices plus importants que les attaques contre des utilisateurs individuels. Les entreprises disposent de plus de données, de nombreux utilisateurs sur le même réseau et de comptes bancaires plus importants auxquels les criminels sont la proie. X-Force n’est pas surpris de voir les opérateurs de HawkEye suivre la tendance qui est devenue en quelque sorte une norme de la cybercriminalité.

Pour gagner la confiance de nouvelles victimes potentielles, les messages Malspam sont apparus sous la forme de courriers électroniques d’une grande banque en Espagne, mais d’autres messages portant des infections à HawkEye se présentaient sous différents formats, y compris de faux courriers électroniques d’entreprises légitimes ou d’autres banques.

Les chercheurs de X-Force notent que le processus d’infection repose sur un certain nombre de fichiers exécutables qui exploitent des scripts PowerShell malveillants. L’image suivante est une vue schématique de ce flux.

X-Force Exchange vous permet d’accéder à une description technique de la routine d’infection avec des indicateurs de compromission pertinents (IoC).

Les adresses IP à l’origine du malspam venaient d’Estonie, tandis que les utilisateurs étaient ciblés dans des pays du monde entier. Pour HawkEye, qui peut être exploité par un grand nombre d’acteurs car c’est une offre commerciale, ces détails changent à chaque campagne. Cela étant dit, quelques campagnes analysées par X-Force en avril et en mai 2019 montrent que l’infrastructure dont provient le malspam est hébergée sur des actifs similaires. Il est possible que les opérateurs HawkEye payent davantage pour d’autres services fournis par le fournisseur du logiciel malveillant ou par un autre fournisseur de cybercriminalité proposant des campagnes de spam.

Suivre les campagnes Malspam

Les campagnes d’infection par des logiciels malveillants se produisent quotidiennement dans le domaine de la cybercriminalité, et les défenseurs savent qu’elles risquent d’en rencontrer plus qu’elles ne peuvent en compter. Pourquoi suivre les campagnes du tout?

Les informations sur les menaces relatives aux campagnes de phishing et de programmes malveillants peuvent aider à renforcer les premières lignes de défense de l’entreprise en aidant les équipes de sécurité:

  • Empêchez les IP malveillants et suspects d’interagir avec leurs utilisateurs.
  • Attendez-vous à des attaques de tendances et mettez-les en garde, et informez la direction et les utilisateurs des nouveaux formats et stratagèmes.
  • Familiarisez-vous avec les nouvelles tactiques, techniques et procédures d’attaque (TTP) afin de mieux évaluer les risques de l’entreprise présentant un intérêt pour l’organisation à mesure que les cybercriminels développent leurs arsenaux.