Analisi del malware HawkEye Reborn V8. Bollettino CERT-PA-B007-181210

10/12/2018

HawkEye malware Reborn

Il CERT-PA ha recentemente rilevato una campagna di malspam rivolta verso utenze italiane ed, in particolare, verso caselle su domini di posta riferibili a strutture della PP.AA.. A tal proposito il CERT-PA ha emesso un bollettino nel quale vengono descritte le tecniche utilizzate per occultare il malware e le procedure, step by step, messe in atto per decodificarlo e comprenderne la natura.

Dal monitoraggio degli eventi connessi alla campagna e dalle analisi svolte su alcuni campioni, pervenuti dalla Constituency del CERT-PA ed estrapolati da una email con allegato un archivio contenente due documenti Word (Formato Office 97) e due eseguibili di tipo PE, sono emerse evidenze di particolare interesse in merito alle tecniche di offuscazione utilizzate per occultare il codice. I sample analizzati presentano componenti in grado di individuare eventuale presenza di software specifico sul sistema ed utilizzano due strumenti noti per il recupero delle password dai principali browser e client di posta elettronica.

Nel caso specifico è stato individuato uno dei GUID riservati per l’Equation Editor di Microsoft Office. L’estrazione delle macro da entrambi i documenti si presenta analogamente offuscata. Dagli elementi raccolti è plausibile ritenere che tale malware possa essere diffuso con l’intento di infettare, più o meno, specifici bersagli e condurre ulteriori azioni con spefiche funzionalità per attività malevole volte a carpire informazioni sensibili dalla macchina compromessa.

Dalle ultime evidenze dirette raccolte dal CERT-PA, gli eventi risalgono a giorno 5 dicembre 2018. L’analisi dei sample è stata riportata nell’apposito bollettino CERT-PA-B007-181210 (PDF).

Indicatori di compromissione

  • IoC (.txt) – File globale : Domini, hash files (SHA1, MD5 e SHA256), URLs, IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr