Horabot kenkėjiška programa

Ispaniškai kalbantys vartotojai Lotynų Amerikoje buvo nukreipti į naujai atrastą botneto kenkėjišką programą, žinomą kaip Horabot. Manoma, kad atakos kampanija buvo aktyvi mažiausiai 2020 m. lapkričio mėn. Grasinimo programa suteikia grėsmės veikėjams galimybę manipuliuoti aukos „Outlook“ pašto dėžute, išgauti el. pašto adresus iš savo kontaktų ir siųsti sukčiavimo el. laiškus su sugadintais HTML priedais visais adresais. pažeistą pašto dėžutę.

Be šių galimybių, „Horabot“ kenkėjiška programa diegia „Windows“ pagrindu veikiantį finansinį Trojos arklį ir šiukšlių įrankį. Šie komponentai yra skirti surinkti jautrius internetinės bankininkystės kredencialus ir pažeisti populiarias žiniatinklio pašto paslaugas, tokias kaip Gmail, Outlook ir Yahoo! Turėdami prieigą prie šių pažeistų paskyrų, kenkėjiškų programų operatoriai gali paleisti šlamšto el. laiškų srautą įvairiems gavėjams.

Kibernetiniai nusikaltėliai taikosi į kelias skirtingas pramonės šakas naudodami Horabot kenkėjišką programą

Kibernetinio saugumo įmonės teigimu, Meksikoje buvo aptikta daug infekcijų, susijusių su Horabot kampanija. Tuo pačiu metu buvo mažiau nustatytų aukų tokiose šalyse kaip Urugvajus, Brazilija, Venesuela, Argentina, Gvatemala ir Panama. Manoma, kad už kampaniją atsakingas grėsmės veikėjas yra Brazilijoje.

Vykdoma kampanija skirta vartotojams, pirmiausia susijusiems su apskaitos, statybos ir inžinerijos, didmeninės prekybos ir investicijų sektoriais. Tačiau įtariama, kad ši grėsmė gali turėti įtakos ir kitoms regiono pramonės šakoms.

„Horabot“ kenkėjiška programa pristatoma per daugiapakopę atakų grandinę

Atakos kampanija prasideda nuo sukčiavimo el. laiškų, kuriuose naudojamos su mokesčiais susijusios temos, siekiant privilioti gavėjus atidaryti HTML priedą. Šiame priede yra įterpta nuoroda, vedanti į RAR archyvą.

Atidarius failą, vykdomas „PowerShell“ atsisiuntimo programos scenarijus, kuris yra atsakingas už ZIP failo, kuriame yra pagrindinės naudingos apkrovos, nuskaitymą iš nuotolinio serverio. Be to, šio proceso metu įrenginys paleidžiamas iš naujo.

Sistemos paleidimas iš naujo yra banko Trojos arklys ir šiukšlių įrankio paleidimo taškas, leidžiantis grėsmės veikėjui rinkti duomenis, įrašyti klavišų paspaudimus, užfiksuoti ekrano kopijas ir platinti kitus sukčiavimo el. laiškus aukos kontaktams.

Kampanijoje naudojamas bankinis Trojos arklys yra 32 bitų Windows DLL, užkoduotas Delphi programavimo kalba. Ji turi panašumų su kitomis Brazilijos kenkėjiškų programų šeimomis, tokiomis kaip Mekotio ir Casbaneiro.

Kita vertus, „Horabot“ yra sukčiavimo botneto programa, sukurta „Outlook“. Jis parašytas PowerShell ir turi galimybę siųsti sukčiavimo el. laiškus visais aukos pašto dėžutėje esančiais el. pašto adresais, taip platinant infekciją. Ši taktika yra apgalvota strategija, kurią naudoja grėsmės veikėjas, siekdamas sumažinti sukčiavimo infrastruktūros atskleidimo riziką.