HawkEye Keylogger是一款窃取信息的恶意软件,在地下黑客市场出售,此恶意软件曾在2016年的一次大规模网络攻击活动中被广泛使用,2018年Hawkeye的作者开始出售新版的HawkEye恶意软件,更新后的HawkEye被称为HawkEye Keylogger-Reborn v8
HawkEye Keylogger-Reborn v8已经不仅仅是一款普通的键盘记录器,新的变种集成了多个高级功能,同时Hawkeye在地下黑客市场宣传广告,并通过地下黑客论坛进行销售,作者在其网站上发布了HawkEye恶意程序的广告和使用教程,还雇佣了一些中介经销商分销此恶意软件,此前发现的HawkEye(v7)变种将主Payload程序加载到自己的进程中,新的变种HawkEye(v8)变种将恶意Payload注入到其它进程MSBuild.exe、RegAsm.exe、VBC.exe等,通过这些合法的进程执行恶意Payload代码
5.外壳程序会调用资源程序中cor41函数,解密程序中的资源,跳转到入口点执行,如下所示:
6.解密程序BITMAP资源,解密之后的程序同样使用NET语言编写,如下所示:
9.关闭Windows安全进程与实时保护功能,如下所示:
10.遍历进程,然后启动RegSvcs.exe进程,如下所示:
11.启动RegSvcs.exe进程之后,将解密出来的恶意代码注入到进程执行,如下所示:
12.将解密出来的恶意代码DUMP下来,该程序使用NET语言编写,Confuser混淆处理,如下所示:
13.去混淆之后,反编译显示为RebornX Stub如下所示:
解密出来的恶意代码为RebornX Stub版本的HawkEye最新变种,窃密受害者主机浏览器帐号和密码等相关信息
