在针对企业用户的垃圾邮件活动中发现了
HawkEye Reborn v8.0和v9.0,这是旧的但臭名昭著的键盘记录恶意软件的最新版本。 IBM X-Force研究人员报告了垃圾邮件活动,该活动使用键盘记录的恶意软件变种来窃取帐户凭据和敏感数据,以后可将其用于单独的攻击,例如帐户接管或企业电子邮件泄露(BEC)骗局。 除了窃取上述信息外,它还可以将其他恶意软件变体下载到受感染的计算机上。
趋势科技过去曾观察到类似的活动。 在一项深入研究中,趋势科技研究人员发现,操作员通过收集有关受害者的业务联系人,分支机构和合作伙伴的更多信息来发起欺诈,从而使用键盘记录恶意软件来搜索更大的目标。 该计划要求通过提供替代的付款详细信息来监控受侵害的企业电子邮件和劫持交易,将付款直接发送给运营商设置的欺诈性帐户。
经过社交工程和恶意软件入侵的电子邮件,通常会掠过企业
IBM X-Force研究人员发现了在2019年4月和5月部署HawkEye Reborn v8.0和v9.0的活动。在他们的分析中,他们指出,运营商专注于向诸如此类行业的企业发送载有恶意软件的电子邮件。 包括运输和物流,进出口,市场营销,农业和医疗保健。 带有键盘记录恶意软件的最新迭代的电子邮件构成为来自合法组织的电子邮件。
部署了HawkEye Reborn v8.0的活动专门欺骗了西班牙的一家大型银行。 对针对该活动的样本的分析表明,电子邮件正文的内容试图诱使收件人打开名为 MT103_Swift Copy_TT20180226 pdf.png.zip 的恶意附件。 文件附件是一个.lnk文件,最初是从PDF格式转换为PNG,然后转换为PNG,然后最终转换为LNK。 相比之下,HawkEye Reborn v9.0电子邮件在直接打开宏的Excel文件中伪装了有效载荷。
在西班牙,和阿拉伯联合酋长国的用户收到了携带HawkEye Reborn v9.0的电子邮件,而v8.0样本特定于西班牙。 有趣的是,电子邮件来源的IP地址是不同的,但在同一C类网络中:v8.0追溯到爱沙尼亚的IP地址,v9.0追溯到爱沙尼亚,法国和的v9.0。 [阅读:《趋势科技Micro Cloud App安全报告2018:针对高级电子邮件威胁的高级防御》
由机器学习支持的安全解决方案,可解决高级电子邮件威胁
通过电子邮件实现的HawkEye的兴起,应提醒企业用户养成良好的电子邮件习惯。 对于初学者来说,组织应告知员工如何免受电子邮件威胁的侵害,从而不会为网络罪犯打开安全漏洞。 企业还可以使用趋势科技™ Cloud App Security™解决方案进行研究,该解决方案是可以集成到现有电子邮件网关中的附加电子邮件安全层。 Cloud App Security使用机器学习来检测Office 365或PDF文档中隐藏的高级恶意软件变体。 人工智能(AI)和计算机视觉技术还用于通过帮助检测和阻止凭据网络钓鱼计划(例如冒充流行品牌的假登录页面)来防止帐户接管攻击。 同时,写作风格DNA是一项技术,可通过使用机器学习根据过去的电子邮件识别用户写作风格的DNA,帮助检测BEC和类似骗局中使用的电子邮件模仿策略。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢