Κακόβουλο λογισμικό Horabot

Οι ισπανόφωνοι χρήστες στη Λατινική Αμερική έχουν γίνει στόχος ενός πρόσφατα ανακαλυφθέντος κακόβουλου λογισμικού botnet, γνωστό ως Horabot. Η εκστρατεία επίθεσης πιστεύεται ότι ήταν ενεργή τουλάχιστον από τον Νοέμβριο του 2020. Το απειλητικό πρόγραμμα παρέχει στους φορείς απειλών τη δυνατότητα να χειριστούν το γραμματοκιβώτιο του Outlook του θύματος, να εξάγουν διευθύνσεις email από τις επαφές τους και να στέλνουν μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν κατεστραμμένα συνημμένα HTML σε όλες τις διευθύνσεις εντός το παραβιασμένο γραμματοκιβώτιο.

Εκτός από αυτές τις δυνατότητες, το Horabot Malware αναπτύσσει έναν οικονομικό Trojan που βασίζεται σε Windows και ένα εργαλείο ανεπιθύμητης αλληλογραφίας. Αυτά τα στοιχεία έχουν σχεδιαστεί για να συλλέγουν ευαίσθητα διαπιστευτήρια ηλεκτρονικής τραπεζικής και να θέτουν σε κίνδυνο δημοφιλείς υπηρεσίες webmail όπως το Gmail, το Outlook και το Yahoo! Με πρόσβαση σε αυτούς τους παραβιασμένους λογαριασμούς, οι χειριστές κακόβουλου λογισμικού μπορούν να εξαπολύσουν έναν χείμαρρο από ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου σε ένα ευρύ φάσμα παραληπτών.

Οι κυβερνοεγκληματίες στοχεύουν πολλές διαφορετικές βιομηχανίες με το κακόβουλο λογισμικό Horabot

Σύμφωνα με μια εταιρεία κυβερνοασφάλειας, ένας σημαντικός αριθμός μολύνσεων που σχετίζονται με την εκστρατεία Horabot έχει εντοπιστεί στο Μεξικό. Ταυτόχρονα, έχουν εντοπιστεί λιγότερα θύματα σε χώρες όπως η Ουρουγουάη, η Βραζιλία, η Βενεζουέλα, η Αργεντινή, η Γουατεμάλα και ο Παναμάς. Ο παράγοντας απειλών που είναι υπεύθυνος για την εκστρατεία πιστεύεται ότι εδρεύει στη Βραζιλία.

Η συνεχιζόμενη καμπάνια στοχεύει χρήστες που ασχολούνται κυρίως με τους τομείς της λογιστικής, των κατασκευών και της μηχανικής, της χονδρικής διανομής και των επενδύσεων. Ωστόσο, υπάρχουν υπόνοιες ότι και άλλες βιομηχανίες στην περιοχή ενδέχεται να επηρεαστούν από αυτήν την απειλή.

Το κακόβουλο λογισμικό Horabot παραδίδεται μέσω αλυσίδας επιθέσεων πολλαπλών σταδίων

Η εκστρατεία επίθεσης ξεκινά με μηνύματα ηλεκτρονικού ψαρέματος που χρησιμοποιούν θέματα που σχετίζονται με φόρους για να παρασύρουν τους παραλήπτες να ανοίξουν ένα συνημμένο HTML. Σε αυτό το συνημμένο, ενσωματώνεται ένας σύνδεσμος, ο οποίος οδηγεί σε ένα αρχείο RAR.

Με το άνοιγμα του αρχείου, εκτελείται ένα σενάριο λήψης PowerShell, το οποίο είναι υπεύθυνο για την ανάκτηση ενός αρχείου ZIP που περιέχει τα κύρια ωφέλιμα φορτία από έναν απομακρυσμένο διακομιστή. Επιπλέον, το μηχάνημα επανεκκινείται κατά τη διάρκεια αυτής της διαδικασίας.

Η επανεκκίνηση του συστήματος χρησιμεύει ως σημείο εκκίνησης για τον τραπεζικό trojan και το εργαλείο ανεπιθύμητης αλληλογραφίας, επιτρέποντας στον παράγοντα απειλής να συλλέγει δεδομένα, να καταγράφει πατήματα πλήκτρων, να καταγράφει στιγμιότυπα οθόνης και να διανέμει περαιτέρω μηνύματα ηλεκτρονικού ψαρέματος στις επαφές του θύματος.

Το τραπεζικό Trojan που χρησιμοποιείται στην καμπάνια είναι ένα DLL 32-bit των Windows, κωδικοποιημένο στη γλώσσα προγραμματισμού Delphi. Παρουσιάζει ομοιότητες με άλλες βραζιλιάνικες οικογένειες κακόβουλου λογισμικού, όπως το Mekotio και το Casbaneiro.

Από την άλλη πλευρά, το Horabot είναι ένα πρόγραμμα botnet phishing σχεδιασμένο για το Outlook. Είναι γραμμένο σε PowerShell και διαθέτει τη δυνατότητα αποστολής email ηλεκτρονικού ψαρέματος σε όλες τις διευθύνσεις email που βρίσκονται στο γραμματοκιβώτιο του θύματος, μεταδίδοντας έτσι τη μόλυνση. Αυτή η τακτική είναι μια σκόπιμη στρατηγική που χρησιμοποιείται από τον παράγοντα απειλής για τη μείωση του κινδύνου έκθεσης της υποδομής phishing.