HawkEye Reborn v8.0 和 v9.0 是該知名鍵盤側錄惡意程式家族最新的兩個版本,目前已出現 在一些專門攻擊企業使用者的垃圾郵件當中。IBM X-Force 研究人員發現了一些攻擊案例使用該鍵盤側錄惡意程式變種來竊取帳號登入憑證與敏感資料,而這些資料又進一步被用於其他攻擊,如:盜用帳號或變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise簡稱 BEC)。除了竊取上述資訊之外,該程式還可能下載更多其他惡意程式變種至被感染的電腦。
過去,趨勢科技也曾經發現過類似的攻擊案例。趨勢科技研究人員曾在一項深度研究中發現,歹徒會利用鍵盤側錄惡意程式來找尋更大的攻擊目標,蒐集更多有關受害者的資訊 (如業務聯絡人、同事、合作夥伴等等) 以從事詐騙。在詐騙過程中,歹徒會持續監控受害使用者的公司電子郵件帳號,一旦發現有關交易付款事宜的郵件,就會從中加以攔截,提供另一個收款帳戶給付款方,好讓交易的款項直接匯入歹徒的銀行帳戶。
使用社交工程電子郵件與含有惡意程式的電子郵件攻擊企業
IBM X-Force 研究人員在 2019 年 4 月和 5 月期間發現了專門散布 HawkEye Reborn v8.0 和 v9.0 的攻擊案例。根據他們的分析指出,歹徒專門發送含有惡意程式的電子郵件給運輸貨運、進出口貿易、行銷、農業、醫療等產業的企業。這些含有最新鍵盤側錄惡意程式的電子郵件,通常假冒來自正常機構的名義。
專門散布 HawkEye Reborn v8.0 的攻擊案例假冒的是西班牙的一家大型銀行。根據該案例的惡意程式樣本分析顯示,其電子郵件的正文內容會試圖誘導收件人開啟一個名為「MT103_Swift Copy_TT20180226 pdf.png.zip」的惡意附件。該檔案是一個「.lnk」檔案,最早是 PDF 格式,後來轉成 PNG,然後再轉成 LNK。至於 HawkEye Reborn v9.0 的電子郵件附件檔案則是偽裝成含有巨集的 Excel 檔案。
HawkEye Reborn v9.0 電子郵件的攻擊對象分布主要在西班牙、美國和阿拉伯聯合大公國,v8.0 則是專門針對西班牙。有趣的是,這些電子郵件的來源 IP 位址雖不盡相同,但卻都位在相同的 C 級 (Class C) 網路底下:v8.0 的來源 IP 可追溯至愛沙尼亞,v9.0 則可追溯至愛沙尼亞、法國和印度。
[延伸閱讀:Trend Micro Cloud App Security Report 2018: Advanced Defenses for Advanced Email Threats]
採用具備機器學習技術的資安解決方案來應付進階電子郵件威脅
HawkEye 的重出江湖且經由電子郵件散布,正好提醒企業使用者應養成良好的電子郵件習慣。首先,企業應教育員工有關電子郵件威脅最佳防禦實務的知識,才不會造成資安上的漏洞,讓網路犯罪集團有機可乘。
其次,企業可考慮採用趨勢科技 Cloud App Security™ 解決方案,在現有的電子郵件閘道之外,添加一道額外的電子郵件防護。Cloud App Security 採用了機器學習(Machine learning,ML)技術來偵測暗藏在 Office 365 或 PDF 文件當中的進階惡意程式變種。同時更利用人工智慧 (AI) 和電腦視覺技術來防止帳號被盜,協助偵測並攔截專門騙取登入憑證的網路釣魚詐騙,例如假冒知名服務的登入畫面。此外還有寫作風格 DNA (寫作風格 DNA) 這項能夠協助偵測變臉詐騙 (或類似詐騙) 電子郵件的技術,藉由機器學習,根據某位使用者過去撰寫的電子郵件來辨認其寫作風格。
原文出處:Spam Campaigns Found Targeting Businesses With HawkEye Reborn Keylogger Malware