GETOVERX FORUM Community Support   ›   Malware Docs   ›   Keyloggers   ›   KEYLOGGER – HawkEye

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
KEYLOGGER – HawkEye
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:41 PM (This post was last modified: 12-07-2025, 04:52 PM by mrwebfeeder.)
Nombre: HawkEye
(indica el nombre del malware, incluir alias si los tiene)

Categoría: Keylogger comercial abusado / Stealer
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Alrededor de la década de 2010 (campañas activas en años posteriores como herramienta comercial abusada)

Comportamiento (lo que hace y archivos que infecta):
- Keylogger/stealer de tipo “herramienta comercial” que se vende como software de monitorización, pero es ampliamente abusado por atacantes.
- Registra teclado:
- Captura pulsaciones de teclado de forma continua.
- Puede registrar:
- Usuarios y contraseñas.
- Mensajes escritos en aplicaciones de mensajería, correo, navegadores, etc.
- Robo de credenciales y datos:
- Extrae credenciales almacenadas en:
- Navegadores (logins guardados).
- Clientes de correo, FTP/VPN u otras aplicaciones soportadas.
- Puede capturar información adicional como:
- Cookies de sesión.
- Información básica del sistema (versión de OS, usuario, IP).
- Exfiltración por SMTP/FTP y otros canales:
- Envía la información robada mediante:
- SMTP (correo electrónico).
- FTP (subida a servidores remotos).
- Otras variantes pueden usar HTTP/HTTPS u otros canales según la configuración del atacante.
- “Archivos que infecta”:
- No cifra ni destruye archivos.
- Accede y lee:
- Bases de datos locales de credenciales de navegadores.
- Archivos de configuración de aplicaciones (FTP/VPN/correo).
- Archivos temporales o logs donde se almacena información de sesión.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Claves de Registro de inicio automático:
- Añade entradas en:
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Apuntando a copias del ejecutable en
Code:
%AppData%
,
Code:
%LocalAppData%
u otras rutas de usuario.
- Carpeta de Inicio (Startup):
- Puede crear accesos directos o copias del binario en la carpeta de Inicio para ejecutarse al iniciar sesión.
- Tareas programadas:
- Crea tareas que relanzan el malware al arrancar el sistema o en intervalos regulares.
- Camuflaje de binarios:
- Usa nombres que imitan procesos legítimos del sistema o aplicaciones comunes para pasar desapercibido.
- Algunas campañas:
- Utilizan scripts o droppers que reescriben la persistencia si el usuario intenta eliminar el programa.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: 3d9bde3ce9cb8cbcd1a1a6e3217a1d19ed902a095ff3c896d072caf5ed88acfe

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Ejecutar un escaneo completo de todas las unidades para localizar:
    - El ejecutable principal de HawkEye.
    - Droppers, instaladores o archivos comprimidos que lo distribuyan.
    - Revisar especialmente:
    - Carpetas de usuario (
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    , Descargas, Temp).
    - Rutas donde el usuario haya ejecutado cracks/herramientas “admin” de origen dudoso.
    - Poner en cuarentena:
    - Ejecutables coincidentes con firmas AV o reglas YARA de HawkEye.
    - Componentes auxiliares (scripts, empaquetadores) que lo instalen.

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Monitorizar y restringir:
    - Tráfico saliente SMTP/FTP generado desde estaciones de trabajo:
    - Permitir sólo servidores de correo/FTP corporativos autorizados.
    - Bloquear conexiones directas a servidores SMTP/FTP desconocidos.
    - Crear reglas que:
    - Bloqueen IPs/domínios asociados a campañas de HawkEye si se dispone de IOC.
    - Limiten el uso de SMTP directo desde clientes que no deban enviar correo hacia Internet.
    - Ante detección de exfiltración:
    - Aislar temporalmente el host de la red externa mientras se completa la limpieza.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - Para HawkEye, centrar en:
    - Acceso masivo a credenciales y datos de navegador:
    - Detectar procesos que leen repetidamente bases de datos de logins/cookies.
    - Keylogging y hooks de entrada:
    - Monitorizar la creación de ganchos globales de teclado y capturas de entrada por procesos no confiables.
    - Persistencia sospechosa:
    - Creación/modificación de claves Run/RunOnce apuntando a ejecutables en AppData/Temp.
    - Generación de tareas programadas que ejecutan binarios no firmados fuera de Program Files.
    - Exfiltración por SMTP/FTP:
    - Procesos no autorizados que abren conexiones SMTP/FTP repetidamente.
    - Respuesta automática recomendada:
    - Matar el proceso que muestre comportamiento de keylogger/stealer.
    - Bloquear el hash del binario para futuras ejecuciones.
    - Registrar todos los eventos (proceso, ruta, credenciales/archivos accedidos, IP destino) en los logs unificados.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Analizar en la Sandbox:
    - Adjuntos y ejecutables que se presenten como “herramientas de administración”, “monitores de empleados” o “keyloggers legítimos”.
    - Cracks, keygens y software empaquetado descargado de sitios no confiables.
    - Observar si:
    - El programa registra pulsaciones y accede a credenciales almacenadas.
    - Intenta conectarse a servidores SMTP/FTP y envía ficheros con textos capturados.
    - Si se confirma comportamiento de HawkEye/stealer:
    - Bloquear la distribución del archivo dentro de la organización.
    - Añadir sus indicadores (hash, nombre, rutas) a la lista interna de IOC.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Para HawkEye en particular:
    - Forzar el cambio de todas las credenciales que hayan podido ser introducidas o almacenadas en el equipo afectado:
    - Correo, redes sociales, banca, VPN, paneles de hosting, RDP, etc.
    - Revisar:
    - Historial de accesos sospechosos (IPs, países, horarios).
    - Actividad anómala en cuentas corporativas asociadas al usuario.
    - Activar o reforzar MFA en servicios críticos para mitigar el abuso de credenciales robadas.
    - Verificar que no se hayan desplegado RATs u otras puertas traseras usando las credenciales filtradas.

Notas opcionales:
- HawkEye ilustra cómo herramientas de “monitorización comercial” pueden convertirse en amenazas serias cuando se distribuyen en campañas masivas de malware o se venden como Malware-as-a-Service.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)