Horabot haittaohjelma

Espanjankieliset käyttäjät Latinalaisessa Amerikassa ovat joutuneet äskettäin löydetyn botnet-haittaohjelman, nimeltä Horabot, kohteena. Hyökkäyskampanjan uskotaan olleen aktiivinen ainakin marraskuusta 2020 lähtien. Uhkailuohjelma antaa uhkatekijöille mahdollisuuden manipuloida uhrin Outlook-postilaatikkoa, poimia sähköpostiosoitteita yhteystiedoistaan ja lähettää phishing-sähköposteja, jotka sisältävät korruptoituneita HTML-liitteitä kaikkiin sisällä oleviin osoitteisiin. vaarantunut postilaatikko.

Näiden ominaisuuksien lisäksi Horabot-haittaohjelma ottaa käyttöön Windows-pohjaisen taloustroijalaisen ja roskapostityökalun. Nämä komponentit on suunniteltu keräämään arkaluonteisia verkkopankkitunnuksia ja vaarantamaan suosittuja verkkosähköpostipalveluja, kuten Gmail, Outlook ja Yahoo! Näiden vaarantuneiden tilien avulla haittaohjelmaoperaattorit voivat vapauttaa roskapostitulvan useille vastaanottajille.

Kyberrikolliset kohdistavat kohteen useille eri toimialoille Horabot-haittaohjelmalla

Kyberturvallisuusyrityksen mukaan Meksikossa on havaittu huomattava määrä Horabot-kampanjaan liittyviä tartuntoja. Samaan aikaan tunnistettuja uhreja on havaittu vähemmän esimerkiksi Uruguayssa, Brasiliassa, Venezuelassa, Argentiinassa, Guatemalassa ja Panamassa. Kampanjasta vastaavan uhkatekijän uskotaan olevan Brasiliassa.

Käynnissä oleva kampanja on suunnattu käyttäjille, jotka toimivat ensisijaisesti kirjanpidon, rakentamisen ja suunnittelun, tukkukaupan ja investointien aloilla. Tämän uhan epäillään kuitenkin koskettavan myös muita alueen toimialoja.

Horabot-haittaohjelma toimitetaan monivaiheisen hyökkäysketjun kautta

Hyökkäyskampanja alkaa tietojenkalasteluviesteillä, jotka houkuttelevat vastaanottajia avaamaan HTML-liitteen verotukseen liittyvillä teemoilla. Tähän liitteeseen on upotettu linkki, joka johtaa RAR-arkistoon.

Kun tiedosto avataan, PowerShell-latausohjelma suoritetaan, joka vastaa ensisijaiset hyötykuormat sisältävän ZIP-tiedoston noutamisesta etäpalvelimelta. Lisäksi kone käynnistetään uudelleen tämän prosessin aikana.

Järjestelmän uudelleenkäynnistys toimii käynnistyspisteenä pankkitroijalaiselle ja roskapostityökalulle, jolloin uhkatekijä voi kerätä tietoja, tallentaa näppäinpainalluksia, kaapata kuvakaappauksia ja jakaa uusia tietojenkalasteluviestejä uhrin yhteyshenkilöille.

Kampanjassa käytetty pankkitroijalainen on 32-bittinen Windows DLL, joka on koodattu Delphi-ohjelmointikielellä. Siinä on yhtäläisyyksiä muiden brasilialaisten haittaohjelmaperheiden, kuten Mekotion ja Casbaneiron, kanssa.

Toisaalta Horabot on Outlookiin suunniteltu phishing-botnet-ohjelma. Se on kirjoitettu PowerShellillä, ja se pystyy lähettämään phishing-sähköposteja kaikkiin uhrin postilaatikossa oleviin sähköpostiosoitteisiin, mikä levittää tartuntaa. Tämä taktiikka on uhkatoimijan tietoinen strategia vähentääkseen tietojenkalasteluinfrastruktuurinsa paljastamisen riskiä.