Programari maliciós Horabot

Els usuaris de parla espanyola d'Amèrica Llatina han estat atacats per un programari maliciós de botnet recentment descobert conegut com Horabot. Es creu que la campanya d'atac està activa com a mínim des de novembre de 2020. El programa amenaçador concedeix als actors d'amenaça la possibilitat de manipular la bústia d'Outlook de la víctima, extreure adreces de correu electrònic dels seus contactes i enviar correus electrònics de pesca que contenen fitxers adjunts HTML corruptes a totes les adreces que hi ha dins. la bústia compromesa.

A més d'aquestes capacitats, el programari maliciós Horabot desplega un troià financer basat en Windows i una eina de correu brossa. Aquests components estan dissenyats per recollir credencials de banca en línia sensibles i comprometre els serveis de correu web populars com Gmail, Outlook i Yahoo! Amb l'accés a aquests comptes compromesos, els operadors de programari maliciós poden llançar un torrent de correus electrònics de correu brossa a una àmplia gamma de destinataris.

Els cibercriminals es dirigeixen a diverses indústries diferents amb el programari maliciós Horabot

Segons una firma de ciberseguretat, a Mèxic s'han detectat un nombre important d'infeccions relacionades amb la campanya Horabot. Al mateix temps, hi ha hagut menys víctimes identificades a països com l'Uruguai, el Brasil, Veneçuela, l'Argentina, Guatemala i Panamà. Es creu que l'actor d'amenaça responsable de la campanya té la seu al Brasil.

La campanya en curs s'adreça principalment als usuaris implicats en els sectors de comptabilitat, construcció i enginyeria, distribució majorista i inversió. No obstant això, se sospita que altres indústries de la regió també es poden veure afectades per aquesta amenaça.

El programari maliciós Horabot es lliura mitjançant una cadena d'atac en diverses etapes

La campanya d'atac comença amb correus electrònics de pesca que utilitzen temes relacionats amb els impostos per atraure els destinataris a obrir un fitxer adjunt HTML. Dins d'aquest fitxer adjunt, s'incrusta un enllaç que condueix a un arxiu RAR.

En obrir el fitxer, s'executa un script de descàrrega de PowerShell, que s'encarrega de recuperar un fitxer ZIP que conté les càrregues principals d'un servidor remot. A més, la màquina es reinicia durant aquest procés.

El reinici del sistema serveix com a punt de llançament per al troià bancari i l'eina de correu brossa, permetent a l'actor de l'amenaça recopilar dades, registrar les pulsacions de tecles, capturar captures de pantalla i distribuir més correus electrònics de pesca als contactes de la víctima.

El troià bancari utilitzat a la campanya és un DLL de Windows de 32 bits codificat en el llenguatge de programació Delphi. Presenta similituds amb altres famílies de programari maliciós brasiler, com Mekotio i Casbaneiro.

D'altra banda, Horabot és un programa de botnet de pesca dissenyat per a Outlook. Està escrit a PowerShell i té la capacitat d'enviar correus electrònics de pesca a totes les adreces de correu electrònic que es troben a la bústia de la víctima, propagant així la infecció. Aquesta tàctica és una estratègia deliberada utilitzada per l'actor de l'amenaça per reduir el risc d'exposar la seva infraestructura de pesca.