Horabot zlonamjerni softver

Korisnici koji govore španjolski u Latinskoj Americi bili su na meti novootkrivenog botnet malwarea poznatog kao Horabot. Vjeruje se da je kampanja napada aktivna najmanje od studenog 2020. Prijeteći program akterima prijetnje daje mogućnost manipuliranja poštanskim sandučićem Outlooka žrtve, izdvajanja adresa e-pošte iz njihovih kontakata i slanja e-poruka za krađu identiteta koje sadrže oštećene HTML privitke na sve adrese unutar kompromitirani poštanski sandučić.

Uz ove mogućnosti, Horabot Malware postavlja financijski trojanac temeljen na sustavu Windows i alat za spam. Ove su komponente osmišljene za prikupljanje osjetljivih vjerodajnica online bankarstva i kompromitiranje popularnih usluga web pošte kao što su Gmail, Outlook i Yahoo! Uz pristup ovim kompromitiranim računima, operateri zlonamjernog softvera mogu osloboditi bujicu neželjene e-pošte širokom rasponu primatelja.

Kibernetički kriminalci ciljaju na nekoliko različitih industrija pomoću zlonamjernog softvera Horabot

Prema tvrtki za kibernetičku sigurnost, u Meksiku je otkriven značajan broj infekcija povezanih s Horabot kampanjom. U isto vrijeme, bilo je manje identificiranih žrtava u zemljama kao što su Urugvaj, Brazil, Venezuela, Argentina, Gvatemala i Panama. Vjeruje se da se prijetnja odgovorna za kampanju nalazi u Brazilu.

Kampanja koja je u tijeku usmjerena je na korisnike prvenstveno uključene u sektore računovodstva, građevinarstva i inženjeringa, veleprodaje i ulaganja. Međutim, sumnja se da bi i druge industrije u regiji mogle biti pogođene ovom prijetnjom.

Zlonamjerni softver Horabot isporučuje se putem višestupanjskog lanca napada

Kampanja napada počinje s phishing e-porukama koje koriste teme povezane s porezom kako bi namamile primatelje da otvore HTML privitak. Unutar ovog privitka ugrađena je poveznica koja vodi do RAR arhive.

Nakon otvaranja datoteke, izvršava se PowerShell skripta za preuzimanje, koja je odgovorna za dohvaćanje ZIP datoteke koja sadrži primarni sadržaj s udaljenog poslužitelja. Osim toga, stroj se ponovno pokreće tijekom ovog procesa.

Ponovno pokretanje sustava služi kao početna točka za bankarskog trojanaca i alat za neželjenu poštu, omogućujući akteru prijetnje prikupljanje podataka, snimanje tipki, snimanje snimaka zaslona i daljnju distribuciju phishing e-poruka kontaktima žrtve.

Bankarski trojanac korišten u kampanji je 32-bitni Windows DLL kodiran u programskom jeziku Delphi. Pokazuje sličnosti s drugim brazilskim obiteljima malwarea, kao što su Mekotio i Casbaneiro.

S druge strane, Horabot je phishing botnet program dizajniran za Outlook. Napisan je u PowerShell-u i ima mogućnost slanja phishing e-pošte na sve adrese e-pošte pronađene u poštanskom sandučiću žrtve, čime se širi infekcija. Ova je taktika namjerna strategija koju koristi akter prijetnje kako bi smanjio rizik od otkrivanja svoje infrastrukture za krađu identiteta.