Злоумышленники использовали взломанные электронные ящики для перенаправления писем на свой собственный.
Исследователю компании Trustwave Роделу Мендресу (Rodel Mendrez) удалось получить доступ к электронной почте преступника, стоящего за кейлоггером Hawkeye. С помощью реверс-инжиниринга он обнаружил в коде вредоноса учетные данные, позволившие через перенаправление попасть на электронную почту его автора.
Распространяемый в коммерческих целях кейлоггер Hawkeye используется в атаках на финансовые и правительственные организации, облачные сервисы, а также на компании, занимающиеся логистикой и внешней торговлей. Он способен похищать учетные данные из браузера и собирать информацию об установленных на скомпрометированных системах межсетевых экранах, операционных системах и IP-адресах.
Поскольку преступникам было известно об уязвимостях в кейлоггере, они использовали скомпрометированные электронные ящики для перенаправления писем на свой собственный. Как пояснил Мендрес, с целью защитить свои учтенные данные злоумышленники сделали взломанный почтовый ящик главным получателем, который в итоге перенаправлял письма на их настоящую почту Gmail. О своей находке исследователь уведомил владельцев скомпрометированных учетных записей.
Ранее Hawkeye можно было приобрести за $35 на теперь уже неактивном сайте hawkeyeproducts.com. Судя по кэшированной копии, на сайте даже были представлены отзывы от клиентов и предлагалась поддержка квалифицированных экспертов.
Источник:
https://www.securitylab.ru/news/483021.php
