# HawkEye > Tipo: **infostealer/keylogger** · S0391 · [MITRE ATT&CK](https://attack.mitre.org/software/S0391) ## Descrição [[hawkeye|HawkEye]] é um keylogger e infostealer de commodity comercializado em fóruns clandestinos e via canais legais como ferramenta de "monitoramento parental" desde pelo menos 2013. Com múltiplas versões (incluindo HawkEye Reborn), o malware é acessível a uma vasta gama de atores de ameaça - desde grupos de fraude financeira até grupos APT que buscam uma ferramenta barata para coleta de credenciais. O HawkEye foi amplamente distribuído via campanhas de spam malicioso com documentos Office ou executáveis anexados, mirando principalmente empresas de médio porte nos setores de manufatura, transporte e logística. O HawkEye captura teclas digitadas (keylogging), cookies de sessão de navegadores, credenciais armazenadas em aplicações como browsers, clientes de email e clientes FTP, e realiza capturas de tela periódicas. Os dados coletados são enviados ao operador via e-mail (usando protocolo SMTP) ou via FTP, usando servidores de e-mail legítimos ou contas comprometidas como canais de exfiltração - uma técnica que dificulta bloqueio baseado em destino. O malware usa técnicas de ofuscação para dificultar detecção por antivírus. Diversas variantes do HawkEye foram identificadas ao longo dos anos, com cada nova versão incorporando melhorias de evasão e novas capacidades de roubo de credenciais. A natureza de commodity do malware - acessível por valores entre US$25 e US$300 - tornou-o especialmente prevalente em campanhas de phishing voltadas a negócios (BEC), onde credenciais roubadas são usadas para desvio de pagamentos e fraude de fornecedores. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials in Files]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção A detecção do HawkEye deve focar no comportamento de keylogging e exfiltração via e-mail. Alertas para conexões SMTP/POP3/IMAP iniciadas por processos que não são clientes de e-mail reconhecidos são eficazes. Monitoramento de acesso ao armazenamento de credenciais de navegadores (arquivos SQLite do Chrome, Firefox, etc.) por processos não relacionados a esses navegadores é um indicador comportamental forte. Análise de e-mails saindo via SMTP com conteúdo codificado (base64) pode identificar exfiltração ativa. > [!warning] Indicadores-chave > - Processos não-navegadores acessando `%APPDATA%\Mozilla\Firefox\Profiles` ou `%LOCALAPPDATA%\Google\Chrome\User Data` > - Conexões SMTP para servidores de e-mail externos iniciadas por processos incomuns > - Criação de chaves de registro de inicialização por instaladores não-administrativos ## Relevância LATAM/Brasil O HawkEye é de alta relevância para o Brasil, onde infostealers de commodity são amplamente usados em ataques a empresas de médio porte. O setor de agronegócio, manufacturing e varejo brasileiro é frequentemente alvo de campanhas de BEC (Business Email Compromise) que usam credenciais roubadas por ferramentas como o HawkEye para desviar pagamentos de fornecedores. A Kaspersky e a Cert.br documentaram múltiplas campanhas de phishing no Brasil distribuindo infostealers da mesma categoria. Treinamentos de conscientização e proteção contra phishing são a principal mitigação. ## Referências - [MITRE ATT&CK - S0391](https://attack.mitre.org/software/S0391) - [IBM X-Force - HawkEye Reborn: Credential Theft Malware](https://www.ibm.com/think/topics/hawkeye-reborn)