Horabot Malware

Испаноговорящите потребители в Латинска Америка са били насочени към новооткрит зловреден софтуер за ботнет, известен като Horabot. Смята се, че атаката е активна най-малко от ноември 2020 г. Заплашващата програма дава на участниците в заплахата възможността да манипулират пощенската кутия на Outlook на жертвата, да извличат имейл адреси от техните контакти и да изпращат фишинг имейли, съдържащи повредени HTML прикачени файлове, до всички адреси в компрометираната пощенска кутия.

В допълнение към тези възможности, зловреден софтуер Horabot внедрява базиран на Windows финансов троянски кон и инструмент за спам. Тези компоненти са предназначени да събират чувствителни идентификационни данни за онлайн банкиране и да компрометират популярни услуги за уеб поща като Gmail, Outlook и Yahoo! С достъп до тези компрометирани акаунти операторите на злонамерен софтуер могат да отприщят поток от спам имейли към широк кръг получатели.

Киберпрестъпниците са насочени към няколко различни индустрии със зловреден софтуер Horabot

Според фирма за киберсигурност значителен брой инфекции, свързани с кампанията Horabot, са открити в Мексико. В същото време има по-малко идентифицирани жертви в страни като Уругвай, Бразилия, Венецуела, Аржентина, Гватемала и Панама. Смята се, че заплахата, отговорна за кампанията, е базирана в Бразилия.

Продължаващата кампания е насочена към потребители, работещи предимно в секторите на счетоводството, строителството и инженеринга, дистрибуцията на едро и инвестициите. Въпреки това се подозира, че други индустрии в региона също могат да бъдат засегнати от тази заплаха.

Зловреден софтуер Horabot се доставя чрез верига от многоетапни атаки

Кампанията за атака започва с фишинг имейли, които използват теми, свързани с данъците, за да примамят получателите да отворят HTML прикачен файл. В този прикачен файл е вградена връзка, водеща към RAR архив.

При отваряне на файла се изпълнява скрипт за изтегляне на PowerShell, който е отговорен за извличането на ZIP файл, съдържащ основните полезни натоварвания от отдалечен сървър. Освен това машината се рестартира по време на този процес.

Рестартирането на системата служи като стартова точка за банковия троян и инструмента за спам, позволявайки на заплахата да събира данни, да записва натискания на клавиши, да заснема екранни снимки и да разпространява допълнителни фишинг имейли до контактите на жертвата.

Банковият троянски кон, използван в кампанията, е 32-битов Windows DLL, кодиран на езика за програмиране Delphi. Той проявява прилики с други бразилски семейства зловреден софтуер, като Mekotio и Casbaneiro.

От друга страна, Horabot е фишинг ботнет програма, предназначена за Outlook. Той е написан на PowerShell и притежава способността да изпраща фишинг имейли до всички имейл адреси, намерени в пощенската кутия на жертвата, като по този начин разпространява инфекцията. Тази тактика е умишлена стратегия, използвана от заплахата, за да намали риска от разкриване на тяхната фишинг инфраструктура.