<![CDATA[GETOVERX FORUM Community Support - Keyloggers]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:59:29 +0000 MyBB <![CDATA[KEYLOGGER – Phoenix Keylogger]]> https://forum.getoverx.com/showthread.php?tid=50 Sat, 29 Nov 2025 15:56:51 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=50 Nombre: Phoenix

Categoría: Keylogger / Stealer
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Alrededor de 2019 (campañas activas en años posteriores)

Comportamiento (lo que hace y archivos que infecta):
- Malware tipo keylogger + stealer enfocado en robar información sensible del usuario.
- Robo de credenciales:
- Extrae usuarios y contraseñas de:
- Navegadores web (credenciales guardadas).
- Clientes de correo, FTP/VPN, mensajería y otras aplicaciones.
- Robo de cookies y sesiones de navegador:
- Roba cookies de sesión para:
- Secuestrar sesiones activas en sitios web (correo, redes sociales, paneles de administración).
- Evitar necesidad de conocer la contraseña si la sesión sigue válida.
- Keylogging:
- Registra pulsaciones de teclado para capturar:
- Credenciales introducidas manualmente.
- Mensajes de chat/correo.
- Cualquier texto escrito en formularios y aplicaciones.
- Exfiltración de datos robados:
- Envía la información recopilada a un servidor de mando y control (C2) usando canales cifrados o camuflados.
- Puede usar HTTP/HTTPS, Telegram/API web u otros mecanismos comunes en stealers modernos.
- “Archivos que infecta”:
- No cifra archivos ni se replica por ficheros como un virus clásico.
- Accede y lee:
- Bases de datos locales de credenciales de navegadores.
- Archivos de configuración de aplicaciones (clientes FTP/VPN/correo).
- Archivos temporales donde se almacena información de sesión.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Claves de Registro de inicio automático:
- Añade entradas en:
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Apuntando a una copia del ejecutable del stealer en rutas de usuario (AppData/Roaming).
- Carpeta de Inicio (Startup):
- Puede colocar accesos directos o copias del binario en la carpeta de Inicio del usuario para ejecutarse al iniciar sesión.
- Tareas programadas:
- Crea tareas que ejecutan el malware en el arranque o en intervalos regulares para garantizar persistencia.
- Camuflaje de binarios:
- Guarda el ejecutable con nombres que imitan procesos legítimos del sistema o software común.
- Ocasionalmente:
- Puede aprovechar herramientas de administración remota ya presentes para mantenerse en el entorno o recolocarse.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: 3cfe04eccf95a9bbed6146efb4c39c57e6a48dc97d578b21c7b9a5ccbb4b0205

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Ejecutar un escaneo completo del sistema con firmas actualizadas para localizar:
    - El binario de Phoenix (keylogger/stealer).
    - Cualquier dropper o instalador que lo haya introducido en el sistema.
    - Priorizar el análisis de:
    - Carpetas de usuario (
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    , Descargas, Temp).
    - Rutas donde se almacenen herramientas descargadas de Internet.
    - Poner en cuarentena:
    - Ejecutables que coincidan con firmas AV o reglas YARA específicas de Phoenix.
    - Ficheros asociados a su cadena de infección (scripts, loaders, empaquetadores).

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Monitorizar y restringir:
    - Conexiones salientes hacia dominios/IPs desconocidos que no formen parte de la operación normal.
    - Tráfico HTTP/HTTPS saliente generado por procesos no habituales (especialmente desde rutas de usuario).
    - Crear reglas para:
    - Bloquear destinos identificados como C2 o utilizados por stealers (según IOC disponibles).
    - Limitar el acceso a Internet de procesos recién instalados hasta ser validados.
    - Aislar temporalmente el host si se detecta:
    - Exfiltración activa de credenciales.
    - Patrones de comunicación repetitiva con C2 sospechosos.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - Para Phoenix (keylogger/stealer), enfocar en:
    - Acceso masivo a almacenes de credenciales:
    - Detectar procesos que:
    - Acceden de forma intensiva a bases de datos de navegadores (Logins, cookies, WebData).
    - Enumeran archivos de configuración de clientes FTP/VPN/correo.
    - Keylogging y captura de entrada/sesión:
    - Monitorizar usos sospechosos de APIs de teclado y hooks de entrada global.
    - Persistencia sospechosa:
    - Creación o modificación de claves Run/RunOnce apuntando a ejecutables fuera de Program Files.
    - Creación de tareas programadas ejecutando binarios en AppData/Temp.
    - Respuesta automática recomendada:
    - Matar el proceso que muestre comportamiento de stealer/keylogger.
    - Bloquear el hash detectado en futuras ejecuciones.
    - Registrar todos los eventos (proceso, ruta, usuario, recurso accedido) en los logs unificados.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Analizar en la Sandbox:
    - Adjuntos de correo ejecutables o empaquetados (ZIP/RAR) que procedan de remitentes no confiables.
    - Instaladores y herramientas “gratuitas” o cracks, ya que muchos stealers se distribuyen así.
    - Observar si el ejecutable:
    - Intenta leer credenciales almacenadas en navegadores y aplicaciones.
    - Implementa hooks de teclado o accede de forma repetida al portapapeles.
    - Establece conexiones salientes a dominios desconocidos para enviar datos capturados.
    - Si se confirma comportamiento de stealer/keylogger:
    - Bloquear la distribución de dicho archivo en la red.
    - Añadir sus hashes y patrones como indicadores de compromiso (IOC) internos.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Específicamente para un stealer como Phoenix:
    - Forzar el cambio de todas las credenciales que hayan podido estar almacenadas o introducidas en el equipo:
    - Correo, redes sociales, banca en línea.
    - VPN, paneles de hosting, accesos de administración interna.
    - Revisar inicios de sesión sospechosos:
    - IPs y países inusuales.
    - Accesos en horarios anómalos.
    - Activar MFA allí donde sea posible para limitar el impacto de credenciales robadas.
    - Verificar que no se hayan instalado herramientas de acceso remoto adicionales (RAT, RDP expuesto, etc.) como resultado de la filtración de credenciales.

Notas opcionales:
- Phoenix representa la categoría de keyloggers/stealers modernos vendidos como “Malware-as-a-Service”; su verdadero impacto se mide por la cantidad de cuentas y accesos comprometidos, más que por daños visibles en el sistema.]]> Nombre: Phoenix

Categoría: Keylogger / Stealer
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Alrededor de 2019 (campañas activas en años posteriores)

Comportamiento (lo que hace y archivos que infecta):
- Malware tipo keylogger + stealer enfocado en robar información sensible del usuario.
- Robo de credenciales:
- Extrae usuarios y contraseñas de:
- Navegadores web (credenciales guardadas).
- Clientes de correo, FTP/VPN, mensajería y otras aplicaciones.
- Robo de cookies y sesiones de navegador:
- Roba cookies de sesión para:
- Secuestrar sesiones activas en sitios web (correo, redes sociales, paneles de administración).
- Evitar necesidad de conocer la contraseña si la sesión sigue válida.
- Keylogging:
- Registra pulsaciones de teclado para capturar:
- Credenciales introducidas manualmente.
- Mensajes de chat/correo.
- Cualquier texto escrito en formularios y aplicaciones.
- Exfiltración de datos robados:
- Envía la información recopilada a un servidor de mando y control (C2) usando canales cifrados o camuflados.
- Puede usar HTTP/HTTPS, Telegram/API web u otros mecanismos comunes en stealers modernos.
- “Archivos que infecta”:
- No cifra archivos ni se replica por ficheros como un virus clásico.
- Accede y lee:
- Bases de datos locales de credenciales de navegadores.
- Archivos de configuración de aplicaciones (clientes FTP/VPN/correo).
- Archivos temporales donde se almacena información de sesión.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Claves de Registro de inicio automático:
- Añade entradas en:
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Apuntando a una copia del ejecutable del stealer en rutas de usuario (AppData/Roaming).
- Carpeta de Inicio (Startup):
- Puede colocar accesos directos o copias del binario en la carpeta de Inicio del usuario para ejecutarse al iniciar sesión.
- Tareas programadas:
- Crea tareas que ejecutan el malware en el arranque o en intervalos regulares para garantizar persistencia.
- Camuflaje de binarios:
- Guarda el ejecutable con nombres que imitan procesos legítimos del sistema o software común.
- Ocasionalmente:
- Puede aprovechar herramientas de administración remota ya presentes para mantenerse en el entorno o recolocarse.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: 3cfe04eccf95a9bbed6146efb4c39c57e6a48dc97d578b21c7b9a5ccbb4b0205

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Ejecutar un escaneo completo del sistema con firmas actualizadas para localizar:
    - El binario de Phoenix (keylogger/stealer).
    - Cualquier dropper o instalador que lo haya introducido en el sistema.
    - Priorizar el análisis de:
    - Carpetas de usuario (
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    , Descargas, Temp).
    - Rutas donde se almacenen herramientas descargadas de Internet.
    - Poner en cuarentena:
    - Ejecutables que coincidan con firmas AV o reglas YARA específicas de Phoenix.
    - Ficheros asociados a su cadena de infección (scripts, loaders, empaquetadores).

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Monitorizar y restringir:
    - Conexiones salientes hacia dominios/IPs desconocidos que no formen parte de la operación normal.
    - Tráfico HTTP/HTTPS saliente generado por procesos no habituales (especialmente desde rutas de usuario).
    - Crear reglas para:
    - Bloquear destinos identificados como C2 o utilizados por stealers (según IOC disponibles).
    - Limitar el acceso a Internet de procesos recién instalados hasta ser validados.
    - Aislar temporalmente el host si se detecta:
    - Exfiltración activa de credenciales.
    - Patrones de comunicación repetitiva con C2 sospechosos.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - Para Phoenix (keylogger/stealer), enfocar en:
    - Acceso masivo a almacenes de credenciales:
    - Detectar procesos que:
    - Acceden de forma intensiva a bases de datos de navegadores (Logins, cookies, WebData).
    - Enumeran archivos de configuración de clientes FTP/VPN/correo.
    - Keylogging y captura de entrada/sesión:
    - Monitorizar usos sospechosos de APIs de teclado y hooks de entrada global.
    - Persistencia sospechosa:
    - Creación o modificación de claves Run/RunOnce apuntando a ejecutables fuera de Program Files.
    - Creación de tareas programadas ejecutando binarios en AppData/Temp.
    - Respuesta automática recomendada:
    - Matar el proceso que muestre comportamiento de stealer/keylogger.
    - Bloquear el hash detectado en futuras ejecuciones.
    - Registrar todos los eventos (proceso, ruta, usuario, recurso accedido) en los logs unificados.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Analizar en la Sandbox:
    - Adjuntos de correo ejecutables o empaquetados (ZIP/RAR) que procedan de remitentes no confiables.
    - Instaladores y herramientas “gratuitas” o cracks, ya que muchos stealers se distribuyen así.
    - Observar si el ejecutable:
    - Intenta leer credenciales almacenadas en navegadores y aplicaciones.
    - Implementa hooks de teclado o accede de forma repetida al portapapeles.
    - Establece conexiones salientes a dominios desconocidos para enviar datos capturados.
    - Si se confirma comportamiento de stealer/keylogger:
    - Bloquear la distribución de dicho archivo en la red.
    - Añadir sus hashes y patrones como indicadores de compromiso (IOC) internos.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Específicamente para un stealer como Phoenix:
    - Forzar el cambio de todas las credenciales que hayan podido estar almacenadas o introducidas en el equipo:
    - Correo, redes sociales, banca en línea.
    - VPN, paneles de hosting, accesos de administración interna.
    - Revisar inicios de sesión sospechosos:
    - IPs y países inusuales.
    - Accesos en horarios anómalos.
    - Activar MFA allí donde sea posible para limitar el impacto de credenciales robadas.
    - Verificar que no se hayan instalado herramientas de acceso remoto adicionales (RAT, RDP expuesto, etc.) como resultado de la filtración de credenciales.

Notas opcionales:
- Phoenix representa la categoría de keyloggers/stealers modernos vendidos como “Malware-as-a-Service”; su verdadero impacto se mide por la cantidad de cuentas y accesos comprometidos, más que por daños visibles en el sistema.]]> <![CDATA[KEYLOGGER – HawkEye]]> https://forum.getoverx.com/showthread.php?tid=34 Sat, 29 Nov 2025 15:41:45 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=34 Nombre: HawkEye
(indica el nombre del malware, incluir alias si los tiene)

Categoría: Keylogger comercial abusado / Stealer
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Alrededor de la década de 2010 (campañas activas en años posteriores como herramienta comercial abusada)

Comportamiento (lo que hace y archivos que infecta):
- Keylogger/stealer de tipo “herramienta comercial” que se vende como software de monitorización, pero es ampliamente abusado por atacantes.
- Registra teclado:
- Captura pulsaciones de teclado de forma continua.
- Puede registrar:
- Usuarios y contraseñas.
- Mensajes escritos en aplicaciones de mensajería, correo, navegadores, etc.
- Robo de credenciales y datos:
- Extrae credenciales almacenadas en:
- Navegadores (logins guardados).
- Clientes de correo, FTP/VPN u otras aplicaciones soportadas.
- Puede capturar información adicional como:
- Cookies de sesión.
- Información básica del sistema (versión de OS, usuario, IP).
- Exfiltración por SMTP/FTP y otros canales:
- Envía la información robada mediante:
- SMTP (correo electrónico).
- FTP (subida a servidores remotos).
- Otras variantes pueden usar HTTP/HTTPS u otros canales según la configuración del atacante.
- “Archivos que infecta”:
- No cifra ni destruye archivos.
- Accede y lee:
- Bases de datos locales de credenciales de navegadores.
- Archivos de configuración de aplicaciones (FTP/VPN/correo).
- Archivos temporales o logs donde se almacena información de sesión.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Claves de Registro de inicio automático:
- Añade entradas en:
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Apuntando a copias del ejecutable en
Code:
%AppData%
,
Code:
%LocalAppData%
u otras rutas de usuario.
- Carpeta de Inicio (Startup):
- Puede crear accesos directos o copias del binario en la carpeta de Inicio para ejecutarse al iniciar sesión.
- Tareas programadas:
- Crea tareas que relanzan el malware al arrancar el sistema o en intervalos regulares.
- Camuflaje de binarios:
- Usa nombres que imitan procesos legítimos del sistema o aplicaciones comunes para pasar desapercibido.
- Algunas campañas:
- Utilizan scripts o droppers que reescriben la persistencia si el usuario intenta eliminar el programa.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: 3d9bde3ce9cb8cbcd1a1a6e3217a1d19ed902a095ff3c896d072caf5ed88acfe

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Ejecutar un escaneo completo de todas las unidades para localizar:
    - El ejecutable principal de HawkEye.
    - Droppers, instaladores o archivos comprimidos que lo distribuyan.
    - Revisar especialmente:
    - Carpetas de usuario (
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    , Descargas, Temp).
    - Rutas donde el usuario haya ejecutado cracks/herramientas “admin” de origen dudoso.
    - Poner en cuarentena:
    - Ejecutables coincidentes con firmas AV o reglas YARA de HawkEye.
    - Componentes auxiliares (scripts, empaquetadores) que lo instalen.

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Monitorizar y restringir:
    - Tráfico saliente SMTP/FTP generado desde estaciones de trabajo:
    - Permitir sólo servidores de correo/FTP corporativos autorizados.
    - Bloquear conexiones directas a servidores SMTP/FTP desconocidos.
    - Crear reglas que:
    - Bloqueen IPs/domínios asociados a campañas de HawkEye si se dispone de IOC.
    - Limiten el uso de SMTP directo desde clientes que no deban enviar correo hacia Internet.
    - Ante detección de exfiltración:
    - Aislar temporalmente el host de la red externa mientras se completa la limpieza.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - Para HawkEye, centrar en:
    - Acceso masivo a credenciales y datos de navegador:
    - Detectar procesos que leen repetidamente bases de datos de logins/cookies.
    - Keylogging y hooks de entrada:
    - Monitorizar la creación de ganchos globales de teclado y capturas de entrada por procesos no confiables.
    - Persistencia sospechosa:
    - Creación/modificación de claves Run/RunOnce apuntando a ejecutables en AppData/Temp.
    - Generación de tareas programadas que ejecutan binarios no firmados fuera de Program Files.
    - Exfiltración por SMTP/FTP:
    - Procesos no autorizados que abren conexiones SMTP/FTP repetidamente.
    - Respuesta automática recomendada:
    - Matar el proceso que muestre comportamiento de keylogger/stealer.
    - Bloquear el hash del binario para futuras ejecuciones.
    - Registrar todos los eventos (proceso, ruta, credenciales/archivos accedidos, IP destino) en los logs unificados.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Analizar en la Sandbox:
    - Adjuntos y ejecutables que se presenten como “herramientas de administración”, “monitores de empleados” o “keyloggers legítimos”.
    - Cracks, keygens y software empaquetado descargado de sitios no confiables.
    - Observar si:
    - El programa registra pulsaciones y accede a credenciales almacenadas.
    - Intenta conectarse a servidores SMTP/FTP y envía ficheros con textos capturados.
    - Si se confirma comportamiento de HawkEye/stealer:
    - Bloquear la distribución del archivo dentro de la organización.
    - Añadir sus indicadores (hash, nombre, rutas) a la lista interna de IOC.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Para HawkEye en particular:
    - Forzar el cambio de todas las credenciales que hayan podido ser introducidas o almacenadas en el equipo afectado:
    - Correo, redes sociales, banca, VPN, paneles de hosting, RDP, etc.
    - Revisar:
    - Historial de accesos sospechosos (IPs, países, horarios).
    - Actividad anómala en cuentas corporativas asociadas al usuario.
    - Activar o reforzar MFA en servicios críticos para mitigar el abuso de credenciales robadas.
    - Verificar que no se hayan desplegado RATs u otras puertas traseras usando las credenciales filtradas.

Notas opcionales:
- HawkEye ilustra cómo herramientas de “monitorización comercial” pueden convertirse en amenazas serias cuando se distribuyen en campañas masivas de malware o se venden como Malware-as-a-Service.]]> Nombre: HawkEye
(indica el nombre del malware, incluir alias si los tiene)

Categoría: Keylogger comercial abusado / Stealer
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Alrededor de la década de 2010 (campañas activas en años posteriores como herramienta comercial abusada)

Comportamiento (lo que hace y archivos que infecta):
- Keylogger/stealer de tipo “herramienta comercial” que se vende como software de monitorización, pero es ampliamente abusado por atacantes.
- Registra teclado:
- Captura pulsaciones de teclado de forma continua.
- Puede registrar:
- Usuarios y contraseñas.
- Mensajes escritos en aplicaciones de mensajería, correo, navegadores, etc.
- Robo de credenciales y datos:
- Extrae credenciales almacenadas en:
- Navegadores (logins guardados).
- Clientes de correo, FTP/VPN u otras aplicaciones soportadas.
- Puede capturar información adicional como:
- Cookies de sesión.
- Información básica del sistema (versión de OS, usuario, IP).
- Exfiltración por SMTP/FTP y otros canales:
- Envía la información robada mediante:
- SMTP (correo electrónico).
- FTP (subida a servidores remotos).
- Otras variantes pueden usar HTTP/HTTPS u otros canales según la configuración del atacante.
- “Archivos que infecta”:
- No cifra ni destruye archivos.
- Accede y lee:
- Bases de datos locales de credenciales de navegadores.
- Archivos de configuración de aplicaciones (FTP/VPN/correo).
- Archivos temporales o logs donde se almacena información de sesión.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Claves de Registro de inicio automático:
- Añade entradas en:
-
Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
-
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Apuntando a copias del ejecutable en
Code:
%AppData%
,
Code:
%LocalAppData%
u otras rutas de usuario.
- Carpeta de Inicio (Startup):
- Puede crear accesos directos o copias del binario en la carpeta de Inicio para ejecutarse al iniciar sesión.
- Tareas programadas:
- Crea tareas que relanzan el malware al arrancar el sistema o en intervalos regulares.
- Camuflaje de binarios:
- Usa nombres que imitan procesos legítimos del sistema o aplicaciones comunes para pasar desapercibido.
- Algunas campañas:
- Utilizan scripts o droppers que reescriben la persistencia si el usuario intenta eliminar el programa.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: 3d9bde3ce9cb8cbcd1a1a6e3217a1d19ed902a095ff3c896d072caf5ed88acfe

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - Ejecutar un escaneo completo de todas las unidades para localizar:
    - El ejecutable principal de HawkEye.
    - Droppers, instaladores o archivos comprimidos que lo distribuyan.
    - Revisar especialmente:
    - Carpetas de usuario (
    Code:
    %AppData%
    ,
    Code:
    %LocalAppData%
    , Descargas, Temp).
    - Rutas donde el usuario haya ejecutado cracks/herramientas “admin” de origen dudoso.
    - Poner en cuarentena:
    - Ejecutables coincidentes con firmas AV o reglas YARA de HawkEye.
    - Componentes auxiliares (scripts, empaquetadores) que lo instalen.

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Monitorizar y restringir:
    - Tráfico saliente SMTP/FTP generado desde estaciones de trabajo:
    - Permitir sólo servidores de correo/FTP corporativos autorizados.
    - Bloquear conexiones directas a servidores SMTP/FTP desconocidos.
    - Crear reglas que:
    - Bloqueen IPs/domínios asociados a campañas de HawkEye si se dispone de IOC.
    - Limiten el uso de SMTP directo desde clientes que no deban enviar correo hacia Internet.
    - Ante detección de exfiltración:
    - Aislar temporalmente el host de la red externa mientras se completa la limpieza.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - Para HawkEye, centrar en:
    - Acceso masivo a credenciales y datos de navegador:
    - Detectar procesos que leen repetidamente bases de datos de logins/cookies.
    - Keylogging y hooks de entrada:
    - Monitorizar la creación de ganchos globales de teclado y capturas de entrada por procesos no confiables.
    - Persistencia sospechosa:
    - Creación/modificación de claves Run/RunOnce apuntando a ejecutables en AppData/Temp.
    - Generación de tareas programadas que ejecutan binarios no firmados fuera de Program Files.
    - Exfiltración por SMTP/FTP:
    - Procesos no autorizados que abren conexiones SMTP/FTP repetidamente.
    - Respuesta automática recomendada:
    - Matar el proceso que muestre comportamiento de keylogger/stealer.
    - Bloquear el hash del binario para futuras ejecuciones.
    - Registrar todos los eventos (proceso, ruta, credenciales/archivos accedidos, IP destino) en los logs unificados.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Analizar en la Sandbox:
    - Adjuntos y ejecutables que se presenten como “herramientas de administración”, “monitores de empleados” o “keyloggers legítimos”.
    - Cracks, keygens y software empaquetado descargado de sitios no confiables.
    - Observar si:
    - El programa registra pulsaciones y accede a credenciales almacenadas.
    - Intenta conectarse a servidores SMTP/FTP y envía ficheros con textos capturados.
    - Si se confirma comportamiento de HawkEye/stealer:
    - Bloquear la distribución del archivo dentro de la organización.
    - Añadir sus indicadores (hash, nombre, rutas) a la lista interna de IOC.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Para HawkEye en particular:
    - Forzar el cambio de todas las credenciales que hayan podido ser introducidas o almacenadas en el equipo afectado:
    - Correo, redes sociales, banca, VPN, paneles de hosting, RDP, etc.
    - Revisar:
    - Historial de accesos sospechosos (IPs, países, horarios).
    - Actividad anómala en cuentas corporativas asociadas al usuario.
    - Activar o reforzar MFA en servicios críticos para mitigar el abuso de credenciales robadas.
    - Verificar que no se hayan desplegado RATs u otras puertas traseras usando las credenciales filtradas.

Notas opcionales:
- HawkEye ilustra cómo herramientas de “monitorización comercial” pueden convertirse en amenazas serias cuando se distribuyen en campañas masivas de malware o se venden como Malware-as-a-Service.]]>