Специалисты из компании IBM X-Force обнаружили новую вредоносную кампанию, в ходе которой злоумышленники выдают себя за генерального директора Всемирной организации здравоохранения (ВОЗ) Тедроса Адана Гебреисуса и отправляют пользователям электронные письма, содержащие кейлоггер HawkEye.

HawkEye является программой для кражи учетных данных, которое обычно распространяется через мошеннические электронные письма и вредоносные файлы Microsoft Word, Excel, PowerPoint и RTF. После установки на компьютере жертвы вредонос пытается украсть учетные данные электронной почты и браузера, включая те, которые используются в Internet Explorer, Google Chrome, Apple Safari и Mozilla Firefox.

Если в предыдущих кампаниях HawkEye распространялся с помощью фишинговых сообщений на тему авиабилетов и банковских операций, то сейчас злоумышленники воспользовались паникой вокруг пандемии коронавируса.

Электронные письма содержат архив с файлом «Coronavirus Disease (Covid-19) CURE.exe». Внутри него находится исполняемый файл .NET, выполняющий роль загрузчика HawkEye, скрытый с помощью инструментов ConfuserEx и Cassandra Protector. После выполнения загрузчик запускает библиотеку Interfaces2.dll и загружает растровое изображение со встроенным кодом сборки.

Из файла изображения извлекается программа ReZer0V2.exe, предназначенная для отключения Защитника Windows. Образец, который также содержит функции защиты от песочницы и виртуальной машины (VM), затем внедряет HawkEye в определенные запущенные процессы.