25 nov 2024

Análisis técnico del keylogger e infostealer HawkEye

Artículo gentiliza de Any.Run para Segu-Info

HawkEye, también conocido como PredatorPain (Predator Pain), es un malware categorizado como keylogger, pero con el paso de los años ha adoptado nuevas funcionalidades que lo alinean con las capacidades de otras herramientas como los ladrones de teclado.

Historia de HawkEye

HawkEye surgió antes de 2010, con registros de su uso y venta que datan de 2008, lo que lo hace bastante longevo. Tras varias campañas de spearphishing en las que se adjuntó este conocido malware, ganó una importante popularidad a partir de 2013.

Este keylogger ha estado disponible en varios sitios de la dark web, incluso habiendo sitios web dedicados donde se vendía la herramienta. Sin embargo, este keylogger ha sido crackeado durante años y utilizado por diferentes actores sin pasar por el método de suscripción impuesto por sus creadores, cuyo precio oscilaba entre los 20 y los 50 dólares. Esto ha contribuido a que siga teniendo notoriedad, y ha sido utilizado no solo por actores criminales sino también por script kiddies debido a su facilidad de uso.

Aunque no es uno de los malwares más utilizados, sigue en uso activo y ha experimentado un resurgimiento significativo durante el periodo de COVID. Durante este tiempo, ciertos actores se han aprovechado de la histeria general para obtener datos de empresas a través de campañas de phishing.

Además, HawkEye se ha utilizado en conjunción con otros cargadores y/o malware que invocaban este keylogger. A lo largo de su larga trayectoria, varios actores y malware han estado involucrados en ataques a empresas, algunos de los cuales incluyen Galleon Gold, Mikroceen, iSPY crypter relacionado con Gold Skyline, Remcos utilizado en campañas con HawkEye, Pony utilizado en campañas con HawkEye, etc.

Análisis en el Sandbox

Para realizar un análisis rápido de HawkEye y extraer datos críticos rápidamente, podemos utilizar el Sandbox interactivo de ANY.RUN. El servicio nos permite cargar y detonar fácilmente una muestra en un entorno virtual seguro e interactuar con ella y el sistema como si lo hiciéramos en una computadora estándar.

En esta sesión de análisis, después de ejecutar el malware, el sandbox lo identifica instantáneamente como HawkEye y comienza a rastrear sus actividades en el sistema y la red. También enumera todas las acciones maliciosas realizadas por la amenaza y las asigna automáticamente a las TTP de MITRE ATT&CK.


También genera un informe completo, enumera los indicadores de compromiso (IOC) y extrae la información de configuración de la muestra.

Análisis técnico

El método de distribución de HawkEye ha variado a lo largo de su historia, al igual que los tipos de fuentes detrás de los ataques. Sin embargo, se ha involucrado principalmente en campañas de phishing, donde los atacantes idearon escenarios convincentes para engañar a las víctimas para que descargaran el archivo malicioso, que podría ser un documento, un archivo comprimido u otro malware que actuara como cargador para el keylogger.

También se ha utilizado para atacar sitios web de portales a los que suelen acceder las empresas, que eran los principales objetivos de los grupos atacantes. Otro método común de propagación de HawkEye fue a través de software "gratuito", que resultó ser malware disfrazado.

Los métodos de distribución de HawkEye son bastante diversos en comparación con otros programas maliciosos. Sin embargo, su ejecución y comportamiento se han mantenido relativamente constantes a lo largo de los años. Un gráfico de comportamiento de lo que se ha observado en los últimos meses se vería así:


Para simplificar, no es tan complejo en comparación con otros info-stealers o RAT. Generalmente consiste en un ejecutable que suelta otros en rutas temporales, luego inyecta código en uno de ellos o en un software relacionado con .NET. Luego, en memoria, recopila todos los datos posibles y los envía a un C&C.

Aquí está la lista de rutas observadas para la descarga de archivos:</>

C:\Users\<usuario>\AppData\Local\Temp\
C:\Users\<usuario>\AppData\Roaming\
C:\Users\<usuario>\AppData\Roaming\Microsoft\Windows\Templates\
C:\Users\<usuario>\AppData\Local\Temp\System\
C:\Users\<usuario>\Music\

Todos estos archivos son copias de sí mismos. Los nombres de archivo también son muy variables, como es de esperar, pero a menudo intentan tener un icono que haga pensar a la víctima que es un programa legítimo, o la descripción del malware puede estar alterada para que parezca un software legítimo.

HawkEye no es solo un malware que establece persistencia una vez, sino que se ha observado que comprueba y establece persistencia hasta tres veces diferentes, dependiendo de las fases (Loader > Injector > Payload).

Esto deja claro que el malware está determinado a persistir en el sistema, de una forma u otra. En esta etapa, para evitar revelar mecanismos de persistencia a través de cadenas, ofusca una cadena y luego la decodifica para introducir, en este caso, uno de los binarios lanzados anteriormente. Esta práctica no es tan común y agrega un nivel de sofisticación que no se encuentra en otras muestras.

Módulos

En cuanto a los módulos que trae, las funcionalidades generales que suelen coincidir en todas las muestras analizadas son:

  • Keylogging (Monitoreo y robo de datos del teclado y portapapeles)
  • Recolección de información del sistema (SO, HW, Red)
  • Robo de credenciales (Mail, FTP, navegadores, videojuegos, etc.)
  • Robo de billeteras
  • Captura de pantallas
  • Detección de software de seguridad
  • Detección de herramientas de análisis (Dbg, tráfico, etc.)
  • Persistencia (normalmente a través de claves de registro o Tareas)
  • Exfiltración de información a través de diversos métodos (FTP, HTTP, SMTP, etc.)

HawkEye se ha distribuido a través de cracks, donde se vendía u ofrecía en foros a los miembros, evitando las habituales cuotas de membresía o mercados, ofreciéndolo por pagos muy bajos en comparación con el precio estándar, que como mencionamos anteriormente, oscilaba entre los $20 y los $50.

Siempre es importante con este tipo de herramientas localizar el software original en diferentes versiones para entender cómo funciona tanto desde la perspectiva de la víctima como del atacante, de modo que podamos obtener una visión completa del malware.

Aquí, podemos ver que el constructor proporciona una multitud de opciones de configuración, lo que nos permite elegir dónde enviar la información robada (correo electrónico, FTP, etc.), qué queremos recopilar (información del navegador, credenciales de FTP, correo, etc.), si comprobar determinadas herramientas, establecer persistencia, eliminar datos, descargar desde un dominio (esto podría funcionar como un descargador para otro malware), cambiar los datos de carga útil para que parezca software legítimo (por ejemplo, cambiar el icono, la descripción, etc.). Como puedes ver, es increíblemente completo. Después de compilar, tendremos nuestro Keylogger, Stealer o Downloader (llámalo como quieras, ya que hace de todo) completo listo para usar.

Any.run ha publicado el análisis completo y los IOC relacionados a esta amenaza..

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!