Horabot Malware

A latin-amerikai spanyolul beszélő felhasználókat a Horabot néven újonnan felfedezett botnet-malware vette célba. A támadási kampány vélhetően legalább 2020 novembere óta aktív. A fenyegető program lehetővé teszi a fenyegetőzők számára, hogy manipulálják az áldozat Outlook-postafiókját, e-mail-címeket vonjanak ki a kapcsolataikból, és hibás HTML-mellékleteket tartalmazó adathalász e-maileket küldjenek az összes címre. a feltört postafiók.

Ezeken a képességeken kívül a Horabot Malware egy Windows-alapú pénzügyi trójai programot és egy spam eszközt is telepít. Ezeket az összetevőket úgy tervezték, hogy begyűjtsék az érzékeny online banki hitelesítési adatokat, és veszélybe sodorják az olyan népszerű webmail szolgáltatásokat, mint a Gmail, az Outlook és a Yahoo! Ezekhez a feltört fiókokhoz való hozzáféréssel a rosszindulatú programok üzemeltetői spam e-mailek özönét szabadíthatják fel a címzettek széles köréhez.

A kiberbűnözők több különböző iparágat céloznak meg a Horabot kártevőkkel

Egy kiberbiztonsági cég szerint jelentős számú, a Horabot kampányhoz kapcsolódó fertőzést észleltek Mexikóban. Ugyanakkor kevesebb azonosított áldozat történt olyan országokban, mint Uruguay, Brazília, Venezuela, Argentína, Guatemala és Panama. A kampányért felelős fenyegetés szereplője vélhetően Brazíliában tartózkodik.

A folyamatban lévő kampány elsősorban a számviteli, építőipari és mérnöki, nagykereskedelmi és befektetési szektorral foglalkozó felhasználókat célozza meg. Gyanítható azonban, hogy a régió más iparágait is érintheti ez a veszély.

A Horabot malware többlépcsős támadási láncon keresztül érkezik

A támadási kampány adathalász e-mailekkel kezdődik, amelyek adózási témákat használnak, hogy rávegyék a címzetteket egy HTML-melléklet megnyitására. Ebben a mellékletben egy hivatkozás van beágyazva, amely egy RAR archívumhoz vezet.

A fájl megnyitásakor egy PowerShell letöltő szkript fut le, amely felelős az elsődleges rakományokat tartalmazó ZIP-fájl letöltéséért egy távoli szerverről. Ezenkívül a folyamat során a gép újraindul.

A rendszer újraindítása indítópontként szolgál a banki trójai és a spam eszköz számára, lehetővé téve a fenyegetettség szereplői számára, hogy adatokat gyűjtsenek, rögzítsenek billentyűleütéseket, képernyőképeket készítsenek, és további adathalász e-maileket küldjenek el az áldozat kapcsolattartóinak.

A kampányban használt banki trójai egy 32 bites, Delphi programozási nyelven kódolt Windows DLL. Hasonlóságot mutat más brazil malware családokkal, mint például a Mekotio és a Casbaneiro.

Másrészt a Horabot egy adathalász botnet program, amelyet az Outlookhoz terveztek. PowerShellben íródott, és képes adathalász e-maileket küldeni az áldozat postaládájában található összes e-mail címre, ezzel terjesztve a fertőzést. Ez a taktika egy szándékos stratégia, amelyet a fenyegetés szereplői alkalmaznak, hogy csökkentsék az adathalász-infrastruktúra felfedésének kockázatát.