请注意!由于电影角色而熟悉的名字——鹰眼恶意代码
鹰眼键盘记录器(HawkEye Keylogger)是一款窃取信息的窃取恶意代码,主要通过垃圾邮件传播。在窃取信息的恶意代码中,特斯拉特工(AgentTesla)、Formbook和Lokibot占绝大多数,窃取但直到不久前,鹰眼恶意代码的大量传播与这些恶意代码一样多。
尽管最近鹰眼的传播减少了很多,但今年也不断地检测到该恶意代码。本文将介绍ASEC发现的鹰眼键盘记录器恶意代码的攻击事例和方法。
鹰眼键盘记录器恶意代码(以下简称鹰眼)类似于其他窃取信息窃取恶意代码,大部分都是通过垃圾邮件的附件进行传播。以下是在2021年2月和3月左右针对韩国用户传播的垃圾邮件。
【图1】2021年2月被确认的垃圾邮件
【图2】2021年3月被确认的垃圾邮件
即使不直接收集EML文件,从接收的文件名来看,大部分被推测为垃圾邮件的附件文件名。
*EML文件:通过电子邮件应用程序保存的电子邮件文件
–
Payment_Advice_GLV225445686.exe
– POinv00393.exe
–
0M5389847667355_030420210000.PDF.exe
–
K409476485-03032021B.pdf.exe
–
x3984776490246720210313.PDF.exe
– s779800_02102021.PDF.exe
窃取除了基本的系统信息之外,鹰眼的信息窃取目标还包括网页浏览器和电子邮件客户端的帐户信息。此外,它还针对数字货币钱包文件或我的世界(Minecraft )的帐户信息文件窃取。作为参考,鹰眼的信息窃取目标大部分是早期版本的应用程序,在最新版本的应用程序中可能无法正常运行。此外,鹰眼还具有截取键盘记录、剪贴板日志记录和屏幕截图的功能。
鹰眼内置NirSoft公司的WebBrowserPassView(网页浏览器密码查看工具) 和Mail
PassView( 邮箱密码恢复工具 )。这些程序分别提取并显示存储在网络浏览器和电子邮件客户端中的帐户信息的工具。根据下方【图3】的版本信息,可以看出该版本是在2013年左右制作。由于鹰眼本身是在过去开发的,因此推断包含了当时的版本。
【图3】密码恢复工具
过去,NirSoft的帐户信息提取工具提供了“/stext”命令行选项。当通过双击运行WebBrowserPassView时,会显示GUI(图形用户界面)。但是,如果同时赋予“/stext”选项和保存已恢复密码的文本文件路径,则可以在用户不知情的情况下使用该工具,即没有GUI界面。鹰眼利用这一点来使用现有的实用程序,而无需直接实施帐户信息窃取步骤。请注意,最新版本不支持这些选项。
鹰眼并不直接运行WebBrowserPassView和Mail PassView,而是运行正常的程序vbc.exe,并将该工具注入其中。从下方【图4】的进程树中可以看到,执行vbc.exe时,帐户信息提取工具在内部运行,网页浏览器帐户信息保存为“holderwb.txt”文件,电子邮件客户端帐户信息将会保存为“holdermail.txt”文件。之后,读取生成的文本文件并传送到攻击者服务器(C&C)。
【图4】在本公司RAPIT(恶意代码自动分析基础设施)中确认的进程树
鹰眼通过3种方式将窃取的信息传送给攻击者。一种是SMTP,即通过电子邮件传送的方式,此方式在AgentTesla和SnakeKeylogger中经常使用;另一种是使用FTP上传文件的方式;最后一种是使用HTTP的方式。
【图5】C&C地址解码步骤
由于鹰眼是一种存在已久的恶意代码,因此在使用最新版本的环境中,网页浏览器或其他应用程序的帐户信息的窃取功能可能无法正常运行。然而键盘记录、剪贴板日志记录和屏幕截图日志记录等功能无论版本如何都可以正常运行,因此照样可以窃取用户信息。
用户在收到可疑邮件时,应该避免运行附件。另外,需要将V3更新到最新版本以防止被恶意代码感染,做到防患于未然。
