Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1075
)
-
▼
noviembre
(Total:
96
)
- Australia prohíbe el uso de las redes sociales a m...
- Una cámara de seguridad capta como un robot con In...
- WebTunnels de Tor: otra forma de evitar la censura
- Bootkitty: primer Bootkit UEFI para Linux
- elementary OS 8 con más seguridad, mejor gestión m...
- La botnet Matrix realiza ataques DDoS masivos expl...
- Un profesor suspende a dos alumnos por usar la IA,...
- Artistas filtran Sora, el generador de vídeos de O...
- TikTok bloqueará los filtros de belleza a los adol...
- ¿Qué ocurre con el dominio geográfico de un país c...
- Un nuevo ciberataque de ransomware al CSIC en Espa...
- FreeCAD 1.0, primera versión «completa» de esta al...
- Grupo ruso RomCom realiza ciberataques en España y...
- Detectan un malware que utiliza un driver de Avast
- Investigadores hacen jailbreak a robots para causa...
- Tiny11 Core 24H2, Windows 11 compacto y sin bloatw...
- Suecia apostó en 2009 por sustituir libros por ord...
- Meta cierra 2 millones de cuentas ligadas a estafa...
- Análisis técnico del keylogger e infostealer HawkEye
- Vulnerabilidades graves en Winzip y 7-Zip
- Fallo en el diseño de la VPN de Fortinet oculta at...
- Cómo instalar Pi.Alert en una Raspberry Pi
- Espías rusos saltaron de una red a otra a través d...
- WhatsApp activa la transcripción de audios para fa...
- Un chaval de 13 años crea una criptomoneda y logra...
- Cómo pasar tus contactos de X / Twitter a Bluesky
- Listado de comandos en Windows 10 - 11
- Un fan de Interstellar crea un TARS en miniatura y...
- El Departamento de Justicia de EE.UU. dice que Goo...
- El Constitucional de España absuelve finalmente a ...
- Vulnerabilidad crítica de Laravel
- Nuevo ransomware Helldown
- Vulnerabilidad Crítica en Routers D-Link Fuera de ...
- Microsoft presenta Windows 365 Link, su Mini-PC pa...
- Aprovechan servidores Jupyter mal configurados par...
- Apple soluciona dos vulnerabilidades Zero-Days en ...
- Microsoft prepara un ordenador cuántico de uso com...
- IA logra operar sin intervención humana
- 12 aplicaciones de Android graban conversaciones s...
- Next SBC, el espectacular mini PC que te cabe en l...
- El chatbot Gemini de Google le responde a un usuar...
- Alemania y Finlandia denuncian el corte del cable ...
- Una vulnerabilidad en el complemento SSL de WordPr...
- EE.UU. quiere obligar a Google a vender Chrome por...
- ¿Qué significa PON, GPON, XG-PON, 10G-EPON…?
- Comandos de Docker básicos y avanzados
- Memorias DIMM vs UDIMM vs CUDIMM vs RDIMM vs SODIMM
- Microsoft confirma que está creando una IA con 100...
- AsusWRT 4.0 - 5.0 (Firmware 3.0.0.6)
- Qué es LLaMA, cómo funciona y cómo se puede probar...
- Qué placa base elegir: Guía de compras para Intel ...
- Las mejores distribuciones de Linux para usuarios ...
- Llega a España el malware ToxicPanda: un troyano b...
- Extraen datos de casi 500 millones de usuarios de ...
- La Guardia Civil desactiva Cristal Azul, el canal ...
- Google presenta dos funciones seguridad para Andro...
- OPNsense: un router y firewall gratuito
- El SSD más rápido del mundo con 60 TB con una velo...
- Guía de compra de todas las RaspBerry Pi
- Qué es una NPU, cómo funciona y por qué es importa...
- El peligro de los dominio .zip
- AMD despedirá al 4 % de su plantilla para centrars...
- Informe dark web de Google
- Apple Maps sin conexión: cómo descargar mapas y us...
- Hachazos y amputaciones por el Wifi: violenta trif...
- VMware Workstation y Fusion ahora son gratis
- Aprovechan el calor de la PS5 para mantener la piz...
- Guía compra AMD Ryzen 3, Ryzen 5, Ryzen 7 y Ryzen 9
- 50 cosas que puedes pedirle a Alexa y no conocías
- Mover archivos más rápido en Windows con "Enviar a"
- La Comisión Europea pide a Apple que elimine el ge...
- Grabar pantalla en macOS
- Apple presenta Share Item Location, la función par...
- Microsoft cambiará actualizaciones de Windows para...
- D-Link no solucionará una vulnerabilidad crítica q...
- Polvo cerámico mejora hasta un 72% el rendimiento ...
- Concatenación de ficheros comprimidos para infecta...
- Filtran datos de empleados de Amazon, McDonald's, ...
- El código IUA escrito en la roseta de fibra óptica...
- Fibra luminosa, descubierta por accidente, podría ...
- Canadá prohíbe el uso de TikTok
- Google tumbó la web de este matrimonio por hacerle...
- Visualizar con Grafana los eventos del IDS/IPS Sur...
- China está usando la IA de Meta para fines militares
- Multa de 85 millones a Telefónica en Estados Unido...
- Vulnerabilidad API de la web de Kia permitió a ata...
- Google revela el primer fallo de seguridad descubi...
- La IA llega a Paint y Notepad en Windows 11
- Alemania redacta una ley para proteger a los inves...
- Microsoft ralentizó el Panel de Control de Windows...
- Guías Equivalencias de procesadores Intel y AMD [G...
- Roban 15 mil credenciales en Git y hay 10 mil repo...
- Publican información del creador del infostealer "...
- Vulnerabilidad RCE en MS SharePoint explotada acti...
- Panel de Control Grafana para el WAF de Apache-Ngi...
- Cómo visualizar los registros de Apache/Nginx en m...
- ► septiembre (Total: 50 )
-
▼
noviembre
(Total:
96
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un conector HDMI dummy o fantasma no es más que un HDMI que simula que hay una pantalla conectada. Tienen una variedad de propósitos útil...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Análisis técnico del keylogger e infostealer HawkEye
HawkEye, también conocido como PredatorPain (Predator Pain), es un malware categorizado como keylogger, pero con el paso de los años ha adoptado nuevas funcionalidades que lo alinean con las capacidades de otras herramientas como los ladrones de teclado.
Historia de HawkEye
HawkEye surgió antes de 2010, con registros de su uso y venta que datan de 2008, lo que lo hace bastante longevo. Tras varias campañas de spearphishing en las que se adjuntó este conocido malware, ganó una importante popularidad a partir de 2013.
Este keylogger ha estado disponible en varios sitios de la dark web, incluso habiendo sitios web dedicados donde se vendía la herramienta. Sin embargo, este keylogger ha sido crackeado durante años y utilizado por diferentes actores sin pasar por el método de suscripción impuesto por sus creadores, cuyo precio oscilaba entre los 20 y los 50 dólares. Esto ha contribuido a que siga teniendo notoriedad, y ha sido utilizado no solo por actores criminales sino también por script kiddies debido a su facilidad de uso.
Aunque no es uno de los malwares más utilizados, sigue en uso activo y ha experimentado un resurgimiento significativo durante el periodo de COVID. Durante este tiempo, ciertos actores se han aprovechado de la histeria general para obtener datos de empresas a través de campañas de phishing.
Además, HawkEye se ha utilizado en conjunción con otros cargadores y/o malware que invocaban este keylogger. A lo largo de su larga trayectoria, varios actores y malware han estado involucrados en ataques a empresas, algunos de los cuales incluyen Galleon Gold, Mikroceen, iSPY crypter relacionado con Gold Skyline, Remcos utilizado en campañas con HawkEye, Pony utilizado en campañas con HawkEye, etc.
Análisis en el Sandbox
Para realizar un análisis rápido de HawkEye y extraer datos críticos rápidamente, podemos utilizar el Sandbox interactivo de ANY.RUN. El servicio nos permite cargar y detonar fácilmente una muestra en un entorno virtual seguro e interactuar con ella y el sistema como si lo hiciéramos en una computadora estándar.
En esta sesión de análisis, después de ejecutar el malware, el sandbox lo identifica instantáneamente como HawkEye y comienza a rastrear sus actividades en el sistema y la red. También enumera todas las acciones maliciosas realizadas por la amenaza y las asigna automáticamente a las TTP de MITRE ATT&CK.
También genera un informe completo, enumera los indicadores de compromiso (IOC) y extrae la información de configuración de la muestra.
Análisis técnico
El método de distribución de HawkEye ha variado a lo largo de su historia, al igual que los tipos de fuentes detrás de los ataques. Sin embargo, se ha involucrado principalmente en campañas de phishing, donde los atacantes idearon escenarios convincentes para engañar a las víctimas para que descargaran el archivo malicioso, que podría ser un documento, un archivo comprimido u otro malware que actuara como cargador para el keylogger.
También se ha utilizado para atacar sitios web de portales a los que suelen acceder las empresas, que eran los principales objetivos de los grupos atacantes. Otro método común de propagación de HawkEye fue a través de software "gratuito", que resultó ser malware disfrazado.
Los métodos de distribución de HawkEye son bastante diversos en comparación con otros programas maliciosos. Sin embargo, su ejecución y comportamiento se han mantenido relativamente constantes a lo largo de los años. Un gráfico de comportamiento de lo que se ha observado en los últimos meses se vería así:
Para simplificar, no es tan complejo en comparación con otros info-stealers o RAT. Generalmente consiste en un ejecutable que suelta otros en rutas temporales, luego inyecta código en uno de ellos o en un software relacionado con .NET. Luego, en memoria, recopila todos los datos posibles y los envía a un C&C.
Aquí está la lista de rutas observadas para la descarga de archivos:</>
C:\Users\<usuario>\AppData\Local\Temp\
C:\Users\<usuario>\AppData\Roaming\
C:\Users\<usuario>\AppData\Roaming\Microsoft\Windows\Templates\
C:\Users\<usuario>\AppData\Local\Temp\System\
C:\Users\<usuario>\Music\
Todos estos archivos son copias de sí mismos. Los nombres de archivo también son muy variables, como es de esperar, pero a menudo intentan tener un icono que haga pensar a la víctima que es un programa legítimo, o la descripción del malware puede estar alterada para que parezca un software legítimo.
HawkEye no es solo un malware que establece persistencia una vez, sino
que se ha observado que comprueba y establece persistencia hasta tres veces
diferentes, dependiendo de las fases (Loader > Injector > Payload).
Esto deja claro que el malware está determinado a persistir en el
sistema, de una forma u otra. En esta etapa, para evitar revelar mecanismos de
persistencia a través de cadenas, ofusca una cadena y luego la decodifica para
introducir, en este caso, uno de los binarios lanzados anteriormente. Esta
práctica no es tan común y agrega un nivel de sofisticación que no se
encuentra en otras muestras.
Módulos
En cuanto a los módulos que trae, las funcionalidades generales que suelen coincidir en todas las muestras analizadas son:
- Keylogging (Monitoreo y robo de datos del teclado y portapapeles)
- Recolección de información del sistema (SO, HW, Red)
- Robo de credenciales (Mail, FTP, navegadores, videojuegos, etc.)
- Robo de billeteras
- Captura de pantallas
- Detección de software de seguridad
- Detección de herramientas de análisis (Dbg, tráfico, etc.)
- Persistencia (normalmente a través de claves de registro o Tareas)
- Exfiltración de información a través de diversos métodos (FTP, HTTP, SMTP, etc.)
HawkEye se ha distribuido a través de cracks, donde se vendía u ofrecía en foros a los miembros, evitando las habituales cuotas de membresía o mercados, ofreciéndolo por pagos muy bajos en comparación con el precio estándar, que como mencionamos anteriormente, oscilaba entre los $20 y los $50.
Siempre es importante con este tipo de herramientas localizar el software original en diferentes versiones para entender cómo funciona tanto desde la perspectiva de la víctima como del atacante, de modo que podamos obtener una visión completa del malware.
Aquí, podemos ver que el constructor proporciona una multitud de opciones de configuración, lo que nos permite elegir dónde enviar la información robada (correo electrónico, FTP, etc.), qué queremos recopilar (información del navegador, credenciales de FTP, correo, etc.), si comprobar determinadas herramientas, establecer persistencia, eliminar datos, descargar desde un dominio (esto podría funcionar como un descargador para otro malware), cambiar los datos de carga útil para que parezca software legítimo (por ejemplo, cambiar el icono, la descripción, etc.). Como puedes ver, es increíblemente completo. Después de compilar, tendremos nuestro Keylogger, Stealer o Downloader (llámalo como quieras, ya que hace de todo) completo listo para usar.
Any.run ha publicado el análisis completo y los IOC relacionados a esta amenaza.Vía:
https://blog.segu-info.com.ar/2024/11/analisis-tecnico-del-keylogger-y.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.