Privilegia l’attacco alle reti informatiche, è l’ora dell’HawkEye Keylogger

New York – Esiste una nuova variante del malware HawkEye Keylogger (identificato lo scorso aprile dagli analisti della IBM X-Force) che si sta diffondendo mediante una massiccia campagna di malspam e la funzionalità di keylogging è utilizzata dai pirati informatici per colpire le reti informatiche di aziende e organizzazioni, rubare dati e credenziali di accesso alla rete LAN di dipendenti e non solo, raccogliendo e ricevendo tutto tramite protocolli ftp, http e smtp.

Per diffonderlo in maniera ancora più massiccia starebbero utilizzando anche delle botnet. Il target di attacco scelto dal malware, ossia reti ed utenti aziendali, consente agli hacker di rubare molti più dati riservati e accedere a conti bancari più corposi. I messaggi che arrivano con tale malware sono falsamente inviati da una grande banca spagnola o da utenze apparentemente legittime e le e-mail non presentano alcun logo aziendale, ma utilizzano saluti generici con contenuti sgrammaticati che fanno riferimento a presunte fatture commerciali in allegato al messaggio. In realtà si tratta di un file .zip che contiene un’immagine in formato .lnk con copia della finta fattura, utile a distrarre la vittima, mentre si esegue il file binario mshta.exe che scarica e attiva HawkEye Keylogger, usando comandi PowerShell, per poi stabilire una connessione con il server C2 dell’attaccante per scaricare ulteriori payload malevoli. Per difendersi non resta ancora una volta che dotarsi di una buona difesa della rete contro il phishing e il malspam, o quanto meno verificare sempre la veridicità del mittente e comprendere se possa essere veritiero il contenuto dell’email pervenuta.