بدافزار Horabot
کاربران اسپانیایی زبان در آمریکای لاتین هدف یک بدافزار بات نت تازه کشف شده به نام Horabot قرار گرفته اند. اعتقاد بر این است که کمپین حمله حداقل از نوامبر 2020 فعال بوده است. برنامه تهدید کننده به عوامل تهدید این امکان را می دهد که صندوق پستی Outlook قربانی را دستکاری کنند، آدرس های ایمیل را از مخاطبین خود استخراج کنند و ایمیل های فیشینگ حاوی پیوست های HTML خراب را به تمام آدرس های موجود ارسال کنند. صندوق پستی در معرض خطر
علاوه بر این قابلیت ها، بدافزار Horabot از یک تروجان مالی مبتنی بر ویندوز و یک ابزار اسپم استفاده می کند. این مؤلفهها برای جمعآوری اعتبارنامههای حساس بانکداری آنلاین و به خطر انداختن سرویسهای ایمیل وب محبوب مانند Gmail، Outlook و Yahoo! با دسترسی به این حسابهای در معرض خطر، اپراتورهای بدافزار میتوانند تورنتی از ایمیلهای هرزنامه را برای طیف گستردهای از گیرندگان آزاد کنند.
مجرمان سایبری چندین صنعت مختلف را با بدافزار Horabot هدف قرار می دهند
به گفته یک شرکت امنیت سایبری، تعداد قابل توجهی از عفونت های مربوط به کمپین Horabot در مکزیک شناسایی شده است. در عین حال، قربانیان شناسایی کمتری در کشورهایی مانند اروگوئه، برزیل، ونزوئلا، آرژانتین، گواتمالا و پاناما وجود داشته است. اعتقاد بر این است که عامل تهدید مسئول این کمپین در برزیل مستقر است.
این کمپین در حال انجام، کاربرانی را هدف قرار می دهد که عمدتاً در بخش های حسابداری، ساخت و ساز و مهندسی، توزیع عمده فروشی و سرمایه گذاری درگیر هستند. با این حال، گمان می رود که سایر صنایع منطقه نیز تحت تأثیر این تهدید قرار گیرند.
بدافزار Horabot از طریق زنجیره حمله چند مرحله ای تحویل داده می شود
کمپین حمله با ایمیلهای فیشینگ شروع میشود که از تمهای مربوط به مالیات استفاده میکنند تا گیرندگان را برای باز کردن یک پیوست HTML ترغیب کنند. در این پیوست، پیوندی تعبیه شده است که به یک آرشیو RAR منتهی می شود.
پس از باز کردن فایل، یک اسکریپت دانلودر PowerShell اجرا می شود که وظیفه بازیابی یک فایل ZIP حاوی بارهای اولیه را از یک سرور راه دور بر عهده دارد. علاوه بر این، دستگاه در طول این فرآیند راه اندازی مجدد می شود.
راهاندازی مجدد سیستم به عنوان نقطه راهاندازی برای تروجان بانکی و ابزار هرزنامه عمل میکند و عامل تهدید را قادر میسازد تا دادهها را جمعآوری کند، ضربههای کلید را ضبط کند، تصاویری از صفحه را بگیرد و ایمیلهای فیشینگ بیشتری را بین مخاطبین قربانی توزیع کند.
تروجان بانکی مورد استفاده در کمپین یک DLL ویندوز 32 بیتی است که به زبان برنامه نویسی دلفی کدگذاری شده است. شباهتهایی با سایر خانوادههای بدافزار برزیلی مانند Mekotio و Casbaneiro دارد.
از طرف دیگر، Horabot یک برنامه بات نت فیشینگ است که برای Outlook طراحی شده است. این در PowerShell نوشته شده است و دارای قابلیت ارسال ایمیل های فیشینگ به تمام آدرس های ایمیل موجود در صندوق پستی قربانی است و در نتیجه عفونت را گسترش می دهد. این تاکتیک یک استراتژی عمدی است که توسط عامل تهدید برای کاهش خطر افشای زیرساخت های فیشینگ خود استفاده می شود.