برنامج Horabot Malware

تم استهداف المستخدمين الناطقين بالإسبانية في أمريكا اللاتينية بواسطة برنامج ضار تم اكتشافه حديثًا يعرف باسم هورابوت. يُعتقد أن حملة الهجوم كانت نشطة منذ نوفمبر 2020 على الأقل. يمنح برنامج التهديد الجهات المهددة القدرة على التلاعب بصندوق بريد Outlook الخاص بالضحية ، واستخراج عناوين البريد الإلكتروني من جهات الاتصال الخاصة بهم ، وإرسال رسائل بريد إلكتروني احتيالية تحتوي على مرفقات HTML تالفة إلى جميع العناوين الموجودة داخل صندوق البريد المخترق.

بالإضافة إلى هذه الإمكانات ، تنشر Horabot Malware برنامج حصان طروادة المالي المستند إلى Windows وأداة البريد العشوائي. تم تصميم هذه المكونات للحصول على بيانات اعتماد مصرفية حساسة عبر الإنترنت وتعريض خدمات بريد الويب الشهيرة للخطر مثل Gmail و Outlook و Yahoo! من خلال الوصول إلى هذه الحسابات المخترقة ، يمكن لمشغلي البرامج الضارة إطلاق العنان لسيل من رسائل البريد الإلكتروني العشوائية إلى مجموعة واسعة من المستلمين.

يستهدف مجرمو الإنترنت عدة صناعات مختلفة ببرنامج Horabot الضار

وفقًا لشركة للأمن السيبراني ، تم اكتشاف عدد كبير من الإصابات المتعلقة بحملة Horabot في المكسيك. في الوقت نفسه ، كان هناك عدد أقل من الضحايا الذين تم التعرف عليهم في بلدان مثل أوروغواي والبرازيل وفنزويلا والأرجنتين وغواتيمالا وبنما. يُعتقد أن ممثل التهديد المسؤول عن الحملة موجود في البرازيل.

تستهدف الحملة المستمرة المستخدمين المشاركين بشكل أساسي في قطاعات المحاسبة والبناء والهندسة والتوزيع بالجملة والاستثمار. ومع ذلك ، يُشتبه في أن الصناعات الأخرى في المنطقة قد تتأثر أيضًا بهذا التهديد.

يتم تسليم برنامج Horabot الضار عبر سلسلة هجوم متعددة المراحل

تبدأ حملة الهجوم برسائل البريد الإلكتروني المخادعة التي تستخدم موضوعات متعلقة بالضرائب لجذب المستلمين لفتح مرفق HTML. في هذا المرفق ، يتم تضمين رابط يؤدي إلى أرشيف RAR.

عند فتح الملف ، يتم تنفيذ نص برمجي لتنزيل PowerShell ، وهو المسؤول عن استرداد ملف ZIP يحتوي على الحمولات الأساسية من خادم بعيد. بالإضافة إلى ذلك ، يتم إعادة تشغيل الجهاز أثناء هذه العملية.

تعمل إعادة تشغيل النظام كنقطة انطلاق لأداة طروادة المصرفية وأداة البريد العشوائي ، مما يتيح للممثل المهدد جمع البيانات وتسجيل ضغطات المفاتيح والتقاط لقطات الشاشة وتوزيع المزيد من رسائل التصيد الاحتيالي عبر البريد الإلكتروني إلى جهات اتصال الضحية.

حصان طروادة المصرفي المستخدم في الحملة هو Windows DLL 32 بت مشفر بلغة برمجة دلفي. تظهر أوجه تشابه مع عائلات البرامج الضارة البرازيلية الأخرى ، مثل Mekotio و Casbaneiro.

من ناحية أخرى ، Horabot هو برنامج روبوت للتصيد مصمم لبرنامج Outlook. تمت كتابته في PowerShell ويمتلك القدرة على إرسال رسائل البريد الإلكتروني المخادعة إلى جميع عناوين البريد الإلكتروني الموجودة في صندوق بريد الضحية ، وبالتالي نشر العدوى. هذا التكتيك هو استراتيجية متعمدة يستخدمها الفاعلون المهددون لتقليل مخاطر الكشف عن البنية التحتية للتصيد الاحتيالي.