होराबोट मैलवेयर
लैटिन अमेरिका में स्पैनिश बोलने वाले उपयोगकर्ताओं को एक नए खोजे गए बॉटनेट मालवेयर द्वारा लक्षित किया गया है जिसे होराबोट के नाम से जाना जाता है। माना जाता है कि हमले का अभियान कम से कम नवंबर 2020 से सक्रिय है। धमकी देने वाला कार्यक्रम अभिनेताओं को पीड़ित के आउटलुक मेलबॉक्स में हेरफेर करने, उनके संपर्कों से ईमेल पते निकालने और सभी पते पर दूषित HTML संलग्नक वाले फ़िशिंग ईमेल भेजने की क्षमता प्रदान करता है। समझौता किया गया मेलबॉक्स।
इन क्षमताओं के अलावा, होराबोट मालवेयर एक विंडोज-आधारित वित्तीय ट्रोजन और एक स्पैम टूल को तैनात करता है। इन घटकों को संवेदनशील ऑनलाइन बैंकिंग क्रेडेंशियल्स को काटने और जीमेल, आउटलुक और याहू जैसी लोकप्रिय वेबमेल सेवाओं से समझौता करने के लिए डिज़ाइन किया गया है! इन समझौता किए गए खातों तक पहुंच के साथ, मैलवेयर ऑपरेटर प्राप्तकर्ताओं की एक विस्तृत श्रृंखला के लिए स्पैम ईमेलों की एक धारा को खोल सकते हैं।
साइबर अपराधी होराबोट मालवेयर के साथ कई अलग-अलग उद्योगों को निशाना बनाते हैं
एक साइबर सुरक्षा फर्म के अनुसार, मेक्सिको में होराबोट अभियान से संबंधित बड़ी संख्या में संक्रमण पाए गए हैं। इसी समय, उरुग्वे, ब्राजील, वेनेजुएला, अर्जेंटीना, ग्वाटेमाला और पनामा जैसे देशों में पीड़ितों की पहचान कम हुई है। माना जाता है कि अभियान के लिए जिम्मेदार खतरा अभिनेता ब्राजील में स्थित है।
चल रहे अभियान मुख्य रूप से लेखांकन, निर्माण और इंजीनियरिंग, थोक वितरण और निवेश क्षेत्रों में शामिल उपयोगकर्ताओं को लक्षित करते हैं। हालांकि, आशंका जताई जा रही है कि इस खतरे से क्षेत्र के अन्य उद्योग भी प्रभावित हो सकते हैं।
होराबोट मालवेयर मल्टी-स्टेज अटैक चेन के माध्यम से डिलीवर किया जाता है
हमले का अभियान फ़िशिंग ईमेल से शुरू होता है जो प्राप्तकर्ताओं को HTML अटैचमेंट खोलने के लिए लुभाने के लिए कर-संबंधित थीम का उपयोग करते हैं। इस अनुलग्नक के भीतर, एक लिंक एम्बेड किया गया है, जो एक RAR संग्रह की ओर ले जाता है।
फ़ाइल खोलने पर, एक PowerShell डाउनलोडर स्क्रिप्ट निष्पादित की जाती है, जो एक दूरस्थ सर्वर से प्राथमिक पेलोड वाली ZIP फ़ाइल को पुनः प्राप्त करने के लिए जिम्मेदार होती है। इसके अतिरिक्त, इस प्रक्रिया के दौरान मशीन को रिबूट किया जाता है।
सिस्टम रीस्टार्ट बैंकिंग ट्रोजन और स्पैम टूल के लिए एक लॉन्चिंग पॉइंट के रूप में कार्य करता है, जो खतरे के अभिनेता को डेटा एकत्र करने, कीस्ट्रोक्स रिकॉर्ड करने, स्क्रीनशॉट कैप्चर करने और पीड़ित के संपर्कों को आगे फ़िशिंग ईमेल वितरित करने में सक्षम बनाता है।
अभियान में प्रयुक्त बैंकिंग ट्रोजन एक 32-बिट विंडोज डीएलएल है जिसे डेल्फी प्रोग्रामिंग भाषा में कोडित किया गया है। यह मेकोटियो और कास्बेनेरो जैसे अन्य ब्राजीलियाई मैलवेयर परिवारों के साथ समानता प्रदर्शित करता है।
दूसरी ओर, होराबोट एक फ़िशिंग बॉटनेट प्रोग्राम है जिसे आउटलुक के लिए डिज़ाइन किया गया है। यह PowerShell में लिखा गया है और पीड़ित के मेलबॉक्स में पाए जाने वाले सभी ईमेल पतों पर फ़िशिंग ईमेल भेजने की क्षमता रखता है, जिससे संक्रमण फैलता है। यह युक्ति उनके फ़िशिंग बुनियादी ढांचे को उजागर करने के जोखिम को कम करने के लिए खतरे वाले अभिनेता द्वारा नियोजित एक जानबूझकर रणनीति है।