HAWKBALL
O HAWKBALL é um Trojan backdoor recém-lançado. O objetivo principal do HAWKBALL é obter informações sobre o dispositivo infectado e, em seguida, fornecer uma carga útil secundária. Os softwares de segurança do PC tem respondido principalmente ao HAWKBALL e foram atualizado para detectar e remover o HAWKBALL. É isso que torna as atualizações de segurança mais recentes para todos os softwares de segurança uma parte essencial da interrupção de ameaças como o HAWKBALL. No entanto, o HAWKBALL faz parte de uma campanha de malware em andamento e é muito provável que continue sendo atualizado e novos alvos selecionados para ataques de HAWKBALL.
Índice
Por Que o HAWKBALL é Ameaçador
O HAWKBALL está sendo distribuído por meio de campanhas de e-mail de spear phishing, visando vítimas específicas. Os ataques de HAWKBALL têm como alvo entidades do governo russo localizadas na Ásia Central atualmente, e é muito provável que os indivíduos que implementam ataques HAWKBALL estejam envolvidos em espionagem e operações patrocinadas pelo estado. As vítimas do ataque HAWKBALL geralmente recebem uma mensagem de e-mail com conteúdo criado para imitar mensagens de forças-tarefa e departamentos criados para combater o terrorismo. Este e-mail conterá um documento anexado que entrega o HAWKBALL ao computador da vítima. O ataque HAWKKALL é executado em segundo plano, sem alertar a vítima. Um documento chamariz é aberto e exibido para distrair a vítima. O principal método de infiltração é explorar as vulnerabilidades no Microsoft Office, particularmente as vulnerabilidades identificadas como CVE-2018-0802 e CVE-2017-11882.
Como o HAWKBALL Realiza o Seu Ataque
O HAWKBALL primeiro verifica o dispositivo da vítima para se certificar de que não foi instalado em um dispositivo virtual ou em uma plataforma usada para depurar e estudar malware. Se este for o caso, então o HAWKBALL pára completamente e se apaga, para evitar que os pesquisadores de segurança do PC estudem seu código. Se o HAWKBALL determinar que aterrou no destino pretendido, o HAWKBALL começará o ataque alterando as configurações do Registro do Windows do dispositivo infectado para obter persistência no dispositivo da vítima (o que significa que o HAWKBALL continuará a operar mesmo se o dispositivo for reinicializado). O HAWKBALL estabelecerá uma conexão com seu servidor de comando e controle. O endereço IP do servidor de comando e controle do HAWKBALL é codificado no próprio HAWKBALL.
O Que o HAWKBALL pode Fazer em um Dispositivo Infectado?
É claro que o HAWKBALL deve ser apenas o primeiro estágio de um ataque de malware com vários estágios. Por causa disso, os recursos do HAWKBALL estão limitados ao que é necessário. O HAWKBALL coleta dados do dispositivo infectado e permite que os criminosos executem comandos no dispositivo infectado que podem ser usados para instalar outro software. Depois de estudar o código do HAWKBALL, foi determinado que o HAWKBALL coletará as seguintes informações do sistema do dispositivo infectado:
Nome do computador
Nome de usuário
Endereço de IP
Página de código ativo
Página OEM
Versão do SO
Detalhes da arquitetura (x32 / x64)
String no deslocamento 0x68 do arquivo de configuração descriptografado
É possível que o HAWKBALL forneça informações adicionais ao invasor. Como pode ser visto, o objetivo do HAWKBALL em si não é coletar arquivos ou monitorar a vítima. Isso geralmente é feito no próximo estágio do ataque, em que os invasores podem entregar um RAT (Remote Access Trojan), usado para controlar o dispositivo a partir de um local remoto ou algum tipo de coletor de informações. O uso de vários estágios nesses ataques permite que os criminosos determinem qual software é o melhor para a carga útil secundária e também torna mais difícil para os pesquisadores de malware interromper a campanha simplesmente removendo ou excluindo um componente do ataque.
