Horabot Malware

משתמשים דוברי ספרדית באמריקה הלטינית היו ממוקדים על ידי תוכנת זדונית בוטנט שהתגלתה לאחרונה המכונה Horabot. מעריכים כי קמפיין התקיפה היה פעיל לפחות מאז נובמבר 2020. התוכנית המאיימת מעניקה לשחקני איומים את היכולת לתמרן את תיבת הדואר של הקורבן ב-Outlook, לחלץ כתובות דוא"ל מאנשי הקשר שלהם, ולשלוח מיילים דיוגים המכילים קבצי HTML פגומים לכל הכתובות בתוך תיבת הדואר שנפגעה.

בנוסף ליכולות אלו, תוכנת ה- Horabot Malware פורסת טרויאני פיננסי מבוסס Windows וכלי דואר זבל. רכיבים אלה נועדו לאסוף אישורי בנקאות מקוונים רגישים ולסכן שירותי דואר אינטרנט פופולריים כגון Gmail, Outlook ו-Yahoo! עם גישה לחשבונות שנפגעו אלה, מפעילי תוכנות זדוניות יכולים לשחרר שטף של הודעות דואר זבל למגוון רחב של נמענים.

פושעי סייבר מכוונים למספר תעשיות שונות באמצעות תוכנת ה- Horabot Malware

לפי חברת אבטחת סייבר, מספר לא מבוטל של זיהומים הקשורים לקמפיין הורבוט זוהה במקסיקו. במקביל, היו פחות קורבנות שזוהו במדינות כמו אורוגוואי, ברזיל, ונצואלה, ארגנטינה, גואטמלה ופנמה. על פי ההערכות, שחקן האיום שאחראי לקמפיין נמצא בברזיל.

הקמפיין המתמשך מכוון למשתמשים המעורבים בעיקר בתחומי החשבונאות, הבנייה וההנדסה, ההפצה הסיטונאית וההשקעות. עם זאת, קיים חשד שגם תעשיות אחרות באזור עשויות להיות מושפעות מאיום זה.

התוכנה הזדונית של Horabot מועברת באמצעות שרשרת התקפה רב-שלבית

מסע התקיפה מתחיל במייל דיוג המשתמשים בנושאים הקשורים למס כדי לפתות נמענים לפתוח קובץ HTML מצורף. בתוך הקובץ המצורף הזה, מוטבע קישור, המוביל לארכיון RAR.

עם פתיחת הקובץ, מופעל סקריפט להורדה של PowerShell, אשר אחראי לאחזור קובץ ZIP המכיל את המטענים העיקריים משרת מרוחק. בנוסף, המכשיר מופעל מחדש במהלך תהליך זה.

ההפעלה מחדש של המערכת משמשת כנקודת השקה של הטרויאן הבנקאי וכלי הספאם, ומאפשרת לשחקן האיום לאסוף נתונים, להקליט הקשות, לצלם צילומי מסך ולהפיץ מיילים נוספים של פישינג לאנשי הקשר של הקורבן.

הטרויאני הבנקאי בו נעשה שימוש בקמפיין הוא DLL של Windows 32 סיביות המקודד בשפת התכנות דלפי. זה מציג קווי דמיון עם משפחות תוכנות זדוניות אחרות ברזילאיות, כמו Mekotio ו-Casbaneiro.

מצד שני, Horabot היא תוכנת בוטנט דיוג המיועדת לאאוטלוק. הוא כתוב ב-PowerShell ויש לו את היכולת לשלוח דוא"ל דיוג לכל כתובות האימייל שנמצאו בתיבת הדואר של הקורבן, ובכך להפיץ את ההדבקה. טקטיקה זו היא אסטרטגיה מכוונת של שחקן האיום כדי להפחית את הסיכון לחשיפת תשתית הדיוג שלו.