بدافزار Horabot

کاربران اسپانیایی زبان در آمریکای لاتین هدف یک بدافزار بات نت تازه کشف شده به نام Horabot قرار گرفته اند. اعتقاد بر این است که کمپین حمله حداقل از نوامبر 2020 فعال بوده است. برنامه تهدید کننده به عوامل تهدید این امکان را می دهد که صندوق پستی Outlook قربانی را دستکاری کنند، آدرس های ایمیل را از مخاطبین خود استخراج کنند و ایمیل های فیشینگ حاوی پیوست های HTML خراب را به تمام آدرس های موجود ارسال کنند. صندوق پستی در معرض خطر

علاوه بر این قابلیت ها، بدافزار Horabot از یک تروجان مالی مبتنی بر ویندوز و یک ابزار اسپم استفاده می کند. این مؤلفه‌ها برای جمع‌آوری اعتبارنامه‌های حساس بانکداری آنلاین و به خطر انداختن سرویس‌های ایمیل وب محبوب مانند Gmail، Outlook و Yahoo! با دسترسی به این حساب‌های در معرض خطر، اپراتورهای بدافزار می‌توانند تورنتی از ایمیل‌های هرزنامه را برای طیف گسترده‌ای از گیرندگان آزاد کنند.

مجرمان سایبری چندین صنعت مختلف را با بدافزار Horabot هدف قرار می دهند

به گفته یک شرکت امنیت سایبری، تعداد قابل توجهی از عفونت های مربوط به کمپین Horabot در مکزیک شناسایی شده است. در عین حال، قربانیان شناسایی کمتری در کشورهایی مانند اروگوئه، برزیل، ونزوئلا، آرژانتین، گواتمالا و پاناما وجود داشته است. اعتقاد بر این است که عامل تهدید مسئول این کمپین در برزیل مستقر است.

این کمپین در حال انجام، کاربرانی را هدف قرار می دهد که عمدتاً در بخش های حسابداری، ساخت و ساز و مهندسی، توزیع عمده فروشی و سرمایه گذاری درگیر هستند. با این حال، گمان می رود که سایر صنایع منطقه نیز تحت تأثیر این تهدید قرار گیرند.

بدافزار Horabot از طریق زنجیره حمله چند مرحله ای تحویل داده می شود

کمپین حمله با ایمیل‌های فیشینگ شروع می‌شود که از تم‌های مربوط به مالیات استفاده می‌کنند تا گیرندگان را برای باز کردن یک پیوست HTML ترغیب کنند. در این پیوست، پیوندی تعبیه شده است که به یک آرشیو RAR منتهی می شود.

پس از باز کردن فایل، یک اسکریپت دانلودر PowerShell اجرا می شود که وظیفه بازیابی یک فایل ZIP حاوی بارهای اولیه را از یک سرور راه دور بر عهده دارد. علاوه بر این، دستگاه در طول این فرآیند راه اندازی مجدد می شود.

راه‌اندازی مجدد سیستم به عنوان نقطه راه‌اندازی برای تروجان بانکی و ابزار هرزنامه عمل می‌کند و عامل تهدید را قادر می‌سازد تا داده‌ها را جمع‌آوری کند، ضربه‌های کلید را ضبط کند، تصاویری از صفحه را بگیرد و ایمیل‌های فیشینگ بیشتری را بین مخاطبین قربانی توزیع کند.

تروجان بانکی مورد استفاده در کمپین یک DLL ویندوز 32 بیتی است که به زبان برنامه نویسی دلفی کدگذاری شده است. شباهت‌هایی با سایر خانواده‌های بدافزار برزیلی مانند Mekotio و Casbaneiro دارد.

از طرف دیگر، Horabot یک برنامه بات نت فیشینگ است که برای Outlook طراحی شده است. این در PowerShell نوشته شده است و دارای قابلیت ارسال ایمیل های فیشینگ به تمام آدرس های ایمیل موجود در صندوق پستی قربانی است و در نتیجه عفونت را گسترش می دهد. این تاکتیک یک استراتژی عمدی است که توسط عامل تهدید برای کاهش خطر افشای زیرساخت های فیشینگ خود استفاده می شود.