HawkEye, también conocido como PredatorPain (Predator Pain), es un malware
categorizado como keylogger, pero con el paso de los años ha adoptado nuevas
funcionalidades que lo alinean con las capacidades de otras herramientas como
los ladrones de teclado.
Historia de HawkEye
HawkEye surgió antes de 2010, con registros de su uso y venta que datan de
2008, lo que lo hace bastante longevo. Tras varias campañas de spearphishing
en las que se adjuntó este conocido malware, ganó una importante popularidad a
partir de 2013.
Este keylogger ha estado disponible en varios sitios de la dark web, incluso
habiendo sitios web dedicados donde se vendía la herramienta. Sin embargo,
este keylogger ha sido crackeado durante años y utilizado por diferentes
actores sin pasar por el método de suscripción impuesto por sus creadores,
cuyo precio oscilaba entre los 20 y los 50 dólares. Esto ha contribuido a que
siga teniendo notoriedad, y ha sido utilizado no solo por actores criminales
sino también por script kiddies debido a su facilidad de uso.
Aunque no es uno de los malwares más utilizados, sigue en uso activo y ha
experimentado un resurgimiento significativo durante el periodo de COVID.
Durante este tiempo, ciertos actores se han aprovechado de la histeria general
para obtener datos de empresas a través de campañas de phishing.
Además, HawkEye se ha utilizado en conjunción con otros cargadores y/o malware
que invocaban este keylogger. A lo largo de su larga trayectoria, varios
actores y malware han estado involucrados en ataques a empresas, algunos de
los cuales incluyen Galleon Gold, Mikroceen, iSPY crypter relacionado con Gold
Skyline,
Remcos
utilizado en campañas con HawkEye,
Pony
utilizado en campañas con HawkEye, etc.
Análisis en el Sandbox
Para realizar un análisis rápido de HawkEye y extraer datos críticos
rápidamente, podemos utilizar el
Sandbox interactivo de ANY.RUN. El servicio nos permite cargar y detonar fácilmente una muestra en un
entorno virtual seguro e interactuar con ella y el sistema como si lo
hiciéramos en una computadora estándar.
En esta sesión de análisis, después de ejecutar el malware, el sandbox lo identifica instantáneamente
como HawkEye y comienza a rastrear sus actividades en el sistema y la red.
También enumera todas las acciones maliciosas realizadas por la amenaza y las
asigna automáticamente a las TTP de MITRE ATT&CK.
También genera un informe completo, enumera los indicadores de compromiso
(IOC) y extrae la información de configuración de la muestra.
Análisis técnico
El método de distribución de HawkEye ha variado a lo largo de su historia, al
igual que los tipos de fuentes detrás de los ataques. Sin embargo, se ha
involucrado principalmente en campañas de phishing, donde los atacantes
idearon escenarios convincentes para engañar a las víctimas para que
descargaran el archivo malicioso, que podría ser un documento, un archivo
comprimido u otro malware que actuara como cargador para el keylogger.
También se ha utilizado para atacar sitios web de portales a los que suelen
acceder las empresas, que eran los principales objetivos de los grupos
atacantes. Otro método común de propagación de HawkEye fue a través de
software «gratuito», que resultó ser malware disfrazado.
Los métodos de distribución de HawkEye son bastante diversos en comparación
con otros programas maliciosos. Sin embargo, su ejecución y comportamiento se
han mantenido relativamente constantes a lo largo de los años. Un gráfico de
comportamiento de lo que se ha observado en los últimos meses se vería así:
Para simplificar, no es tan complejo en comparación con otros
info-stealers o RAT. Generalmente consiste en un ejecutable que suelta
otros en rutas temporales, luego inyecta código en uno de ellos o en un
software relacionado con .NET. Luego, en memoria, recopila todos los datos
posibles y los envía a un C&C.
Aquí está la lista de rutas observadas para la descarga de archivos:</>
C:Users<usuario>AppDataLocalTemp
C:Users<usuario>AppDataRoaming
C:Users<usuario>AppDataRoamingMicrosoftWindowsTemplates
C:Users<usuario>AppDataLocalTempSystem
C:Users<usuario>Music
Todos estos archivos son copias de sí mismos. Los nombres de archivo también
son muy variables, como es de esperar, pero a menudo intentan tener un icono
que haga pensar a la víctima que es un programa legítimo, o la descripción del
malware puede estar alterada para que parezca un software legítimo.
HawkEye no es solo un malware que establece persistencia una vez, sino
que se ha observado que comprueba y establece persistencia hasta tres veces
diferentes, dependiendo de las fases (Loader > Injector > Payload).
Esto deja claro que el malware está determinado a persistir en el
sistema, de una forma u otra. En esta etapa, para evitar revelar mecanismos de
persistencia a través de cadenas, ofusca una cadena y luego la decodifica para
introducir, en este caso, uno de los binarios lanzados anteriormente. Esta
práctica no es tan común y agrega un nivel de sofisticación que no se
encuentra en otras muestras.
Módulos
En cuanto a los módulos que trae, las funcionalidades generales que suelen
coincidir en todas las muestras analizadas son:
- Keylogging (Monitoreo y robo de datos del teclado y portapapeles)
- Recolección de información del sistema (SO, HW, Red)
- Robo de credenciales (Mail, FTP, navegadores, videojuegos, etc.)
- Robo de billeteras
- Captura de pantallas
- Detección de software de seguridad
- Detección de herramientas de análisis (Dbg, tráfico, etc.)
- Persistencia (normalmente a través de claves de registro o Tareas)
-
Exfiltración de información a través de diversos métodos (FTP, HTTP, SMTP,
etc.)
HawkEye se ha distribuido a través de cracks, donde se vendía u ofrecía en foros a los miembros, evitando las habituales cuotas de membresía o mercados, ofreciéndolo por pagos muy bajos en comparación con el precio estándar, que como mencionamos anteriormente, oscilaba entre los $20 y los $50.
Siempre es importante con este tipo de herramientas localizar el software
original en diferentes versiones para entender cómo funciona tanto desde la
perspectiva de la víctima como del atacante, de modo que podamos obtener una
visión completa del malware.
Aquí, podemos ver que el constructor proporciona una multitud de opciones de configuración, lo que nos permite elegir dónde enviar la información robada (correo electrónico, FTP, etc.), qué queremos recopilar (información del navegador, credenciales de FTP, correo, etc.), si comprobar determinadas herramientas, establecer persistencia, eliminar datos, descargar desde un dominio (esto podría funcionar como un descargador para otro malware), cambiar los datos de carga útil para que parezca software legítimo (por ejemplo, cambiar el icono, la descripción, etc.). Como puedes ver, es increíblemente completo. Después de compilar, tendremos nuestro Keylogger, Stealer o Downloader (llámalo como quieras, ya que hace de todo) completo listo para usar.
Any.run
ha publicado el
análisis completo
y los IOC relacionados a esta amenaza..
Los comentarios están cerrados.