به گزارش گرداب، به نقل از پایگاه اینترنتی BleepingComputer، در این عملیات از ایمیل‌های اسپم استفاده شده است که سازمان‌های بخش‌های مختلف از جمله حمل و نقل و لجستیک، سلامت، واردات و صادرات، بازاریابی، کشاورزی و غیره مورد هدف قرار گرفته‌اند.

به گفته پژوهشگران، بدافزار HawkEye به منظور سرقت اطلاعات از دستگاه‌های آلوده طراحی شده است، اما از این بدافزار می‌توان به عنوان بارگذاری‌کننده سایر بدافزارها از بات‌نت‌ها نیز بهره‌برداری کرد. هدف از انتشار این بدافزار ثبت‌کننده صفحه کلید، سرقت اطلاعات احرازهویت و داده‌های حساس کاربران است. به طور دقیق‌تر، در این عملیات از HawkEye Reborn v۸,۰ و HawkEye Reborn v۹.۰ استفاده شده که در پیوست ایمیل‌های اسپم برای کاربران ارسال شده است. پیوست ایمیل‌ها یک فایل صورت‌حساب جعلی است که زمانی که کاربر اقدام به بازکردن آن کند، فایل mshta.exe منتقل می‌شود. برای اتصال به سرور کنترل و فرمان (C&C)، این فایل از PowerShell استفاده و بدافزار در ادامه payloadهای دیگری را نیز منتقل می‌کند.

کسب پایداری در سیستم قربانی با کمک اسکریپت AutoIt انجام می‌شود. این اسکریپت در قالب یک فایل اجرایی با نام gvg.exe به ورودی‌های AutoRun در رجیستری ویندوز اضافه می‌شود. در نتیجه در هر بار راه‌اندازی مجدد سیستم، بدافزار به طور خودکار اجرا می‌شود. همچنین پژوهشگران متوجه فایلی با نام AAHEP.txt شدند که تمامی دستورالعمل‌های مرتبط با بدافزار ثبت‌کننده صفحه کلید Hawkeye در آن قرار دارد.

ثبت‌کننده صفحه کلید و سارق اطلاعات Hawkeye از سال ۲۰۱۳ درحال توسعه بوده و در این سال‌ها به منظور افزایش قابلیت‌های سرقت اطلاعات و نظارت بر قربانی، ویژگی‌ها و ماژول‌های جدیدی به آن افزوده شده است. فروش این بدافزار در بازار وب تاریک و فروم‌های هک انجام می‌شود. آخرین نسخه این بدافزار، HawkEye Reborn v۹ است که می‌تواند اطلاعات را از برنامه‌های مختلف دریافت کند و سپس از طریق پروتکل‌هایی مانند FTP، HTTP و SMTP آن‌ها را برای اپراتورهای خود ارسال کند.