Horabot pahavara

Ladina-Ameerika hispaania keelt kõnelevad kasutajad on olnud äsja avastatud botneti pahavara, mida nimetatakse Horabotiks, sihtmärgiks. Arvatakse, et ründekampaania on olnud aktiivne vähemalt 2020. aasta novembrist. Ähvardusprogramm annab ohus osalejatele võimaluse manipuleerida ohvri Outlooki postkasti, eraldada oma kontaktidelt e-posti aadresse ja saata rikutud HTML-i manuseid sisaldavaid andmepüügimeile kõigile selles sisalduvatele aadressidele. ohustatud postkasti.

Lisaks nendele võimalustele juurutab Horaboti pahavara Windowsi-põhise finantstroojalase ja rämpspostitööriista. Need komponendid on loodud tundlike Interneti-panganduse mandaatide kogumiseks ja populaarsete veebimeiliteenuste, nagu Gmail, Outlook ja Yahoo! Juurdepääsuga nendele ohustatud kontodele saavad pahavara operaatorid vallandada rämpsposti tormi paljudele adressaatidele.

Küberkurjategijad sihivad Horaboti pahavaraga mitut erinevat tööstust

Küberjulgeolekufirma andmetel on Mehhikos avastatud märkimisväärne hulk Horaboti kampaaniaga seotud nakkusi. Samal ajal on tuvastatud ohvreid vähem sellistes riikides nagu Uruguay, Brasiilia, Venezuela, Argentina, Guatemala ja Panama. Arvatakse, et kampaania eest vastutav ähvardaja asub Brasiilias.

Käimasolev kampaania on suunatud kasutajatele, kes on peamiselt seotud raamatupidamise, ehituse ja inseneritöö, hulgimüügi ja investeerimissektoriga. Samas kahtlustatakse, et see oht võib puudutada ka teisi piirkonna tööstusi.

Horaboti pahavara tarnitakse mitmeastmelise ründeahela kaudu

Rünnakukampaania algab andmepüügimeilidega, mis kasutavad maksudega seotud teemasid, et meelitada adressaate avama HTML-manust. Sellesse manusesse on manustatud link, mis viib RAR-i arhiivi.

Faili avamisel käivitatakse PowerShelli allalaadimisskript, mis vastutab esmaseid kasulikke koormusi sisaldava ZIP-faili toomise eest kaugserverist. Lisaks taaskäivitatakse masin selle protsessi käigus.

Süsteemi taaskäivitamine toimib pangatrooja ja rämpsposti tööriista käivituspunktina, võimaldades ohus osalejal andmeid koguda, salvestada klahvivajutused, jäädvustada ekraanipilte ja levitada ohvri kontaktidele täiendavaid andmepüügimeile.

Kampaanias kasutatud pangatroojalane on 32-bitine Windowsi DLL, mis on kodeeritud Delphi programmeerimiskeeles. Sellel on sarnasusi teiste Brasiilia pahavaraperekondadega, nagu Mekotio ja Casbaneiro.

Teisest küljest on Horabot Outlooki jaoks loodud andmepüügi botneti programm. See on kirjutatud PowerShellis ja sellel on võimalus saata andmepüügimeile kõigile ohvri postkastist leitud meiliaadressidele, levitades seeläbi nakkust. See taktika on sihilik strateegia, mida ohus osaleja kasutab andmepüügi infrastruktuuri paljastamise ohu vähendamiseks.