Un simple keylogger comercial que se distribuye a las pequeñas y medianas empresas en todo el mundo causa millones de euros de daños y que se distribuye a través de archivos adjuntos de correo electrónico, según afirma la compañía antivirus japonesa Trend Micro. Es el keylogger HawkEye ofrecido en Internet por apenas unos pocos dólares.








Una vez activo, el keylogger se utiliza para robar contraseñas del navegador y cliente de correo electrónico. Estos datos son enviados a través de e-mail, FTP y un panel de control web (PHP) enviando la información a los atacantes.

Con las contraseñas robadas a las cuentas de correo electrónico de los ejecutivos corporativos, incluyendo el CEO y el CFO adquirida. Luego a través de las cuentas de correo electrónico secuestrados, una orden de pago enviada a la contabilidad. Esta estafa también se conoce como "Business Email Compromiso" y habría causado en todo el mundo el año pasado a una pérdida de 216 millones doláres. De acuerdo con el FBI y el Servicio Secreto cada vez más y más compañías estadounidenses se ven afectados por el fraude. La razón de los servicios de investigación a una advertencia para entregar.



Para la difusión del keylogger para enviar archivos .exe y .zip que son supuestamente una factura, orden de compra o una cita. En algunos casos, los criminales hacen el primer contacto con las empresas. Sólo después de varios intercambios de correo electrónico, se enviará el keylogger. Según Trend Micro, la mayoría de las víctimas de HawkEye son de la India, seguido por Egipto e Irán. Se trata de empresas de diferentes sectores, pero sobre todo los bienes, el transporte y la fabricación. También parece que la mayoría de las empresas se accede a través de cuentas de correo  o direcciones de correo electrónico. genérica como info @




Trend Micro ha hecho un informe (pdf) de HawkEye que también analiza dos criminales cibernéticos nigerianos (Uche y Okiki) utilizando el mismo malware. Según los investigadores HawkEye parece simple keylogger, pero está motivado criminales cibernéticos más que suficiente para llevar a cabo ataques de malware. También por otra HawkEye seguridad se investigó recientemente como iSight Partners. La investigación muestra que esta seguridad se utilizará para la difusión de archivos keylogger invoice.exe, el pago y la compra slip.exe order.exe. ISight también argumenta que la mayoría de las víctimas son en la India, sino también ver una gran cantidad de infecciones en Italia, Estados Unidos y Turquía. Además, también hay infecciones observadas en los Países Bajos.

Uche y Okiki: Arsenal de Cybercriminales: Herramientas y Servicios

Los cibercriminales a menudo tienen como objetivo garantizar que el ataque tendrá éxito incluso antes de su lanzamiento real. Por ejemplo, los ciberdelincuentes utilizan el cifrado de archivos con el fin de evitar que el software de seguridad de detección de su malware cuando se envía a la víctima.

Esto es especialmente cierto para los ataques que implican run-of-the-mill malware como
Hawkeye, ya que son más propensos a ser detectado. Cifrado de archivos o bien se puede hacer por los ciberdelincuentes a sí mismos a través de herramientas como Crypters, o a través de la encriptación de los servicios - donde se piden otros cibercriminales a que cifrren sus archivos para ellos.

DataScrambler y Cyberseal

DataScrambler cifra los ficheros para ser "Fully UnDetectable”, también conocido como FUD.

• The encrypted binary is a WinRAR self-extracting archive containing the following files: 
• AutoIt executable 
• Encrypted payload 
• AutoIt script that will decrypt and execute the payload 
• Configuration file that contains a key to decrypt the payload