Horabot ļaunprātīga programmatūra

Spāniski runājošie lietotāji Latīņamerikā ir bijuši vērsti pret jaunatklātu robottīklu ļaunprātīgu programmatūru, kas pazīstama kā Horabot. Tiek uzskatīts, ka uzbrukuma kampaņa ir bijusi aktīva vismaz kopš 2020. gada novembra. Draudu programma sniedz draudu dalībniekiem iespēju manipulēt ar upura Outlook pastkasti, izvilkt e-pasta adreses no viņu kontaktpersonām un sūtīt pikšķerēšanas e-pasta ziņojumus ar bojātiem HTML pielikumiem uz visām programmā esošajām adresēm. uzlauztā pastkaste.

Papildus šīm iespējām Horabot Malware izvieto uz Windows balstītu finanšu Trojas zirgu un surogātpasta rīku. Šie komponenti ir paredzēti sensitīvu tiešsaistes banku akreditācijas datu iegūšanai un populāru tīmekļa pasta pakalpojumu, piemēram, Gmail, Outlook un Yahoo! Piekļūstot šiem apdraudētajiem kontiem, ļaunprātīgas programmatūras operatori var atbrīvot surogātpasta e-pastu straumi plašam adresātu lokam.

Kibernoziedznieki, izmantojot Horabot ļaunprātīgu programmatūru, ir vērsti uz vairākām dažādām nozarēm

Saskaņā ar kiberdrošības firmas datiem, Meksikā ir atklāts ievērojams skaits infekciju, kas saistītas ar Horabot kampaņu. Tajā pašā laikā ir mazāk identificētu upuru tādās valstīs kā Urugvaja, Brazīlija, Venecuēla, Argentīna, Gvatemala un Panama. Tiek uzskatīts, ka par kampaņu atbildīgais draudu aktieris atrodas Brazīlijā.

Pašlaik notiekošās kampaņas mērķauditorija ir lietotāji, kas galvenokārt saistīti ar grāmatvedības, būvniecības un inženierijas, vairumtirdzniecības un investīciju nozarēm. Tomēr pastāv aizdomas, ka šis apdraudējums varētu skart arī citas reģiona nozares.

Horabot ļaunprātīgā programmatūra tiek piegādāta, izmantojot daudzpakāpju uzbrukuma ķēdi

Uzbrukuma kampaņa sākas ar pikšķerēšanas e-pastiem, kuros tiek izmantotas ar nodokļiem saistītas tēmas, lai mudinātu adresātus atvērt HTML pielikumu. Šajā pielikumā ir iegulta saite, kas ved uz RAR arhīvu.

Atverot failu, tiek izpildīts PowerShell lejupielādētāja skripts, kas ir atbildīgs par ZIP faila izgūšanu no attālā servera, kas satur primārās slodzes. Turklāt šī procesa laikā iekārta tiek atsāknēta.

Sistēmas restartēšana kalpo kā palaišanas punkts banku Trojas zirgam un surogātpasta rīkam, ļaujot apdraudējuma dalībniekam vākt datus, ierakstīt taustiņsitienus, tvert ekrānuzņēmumus un izplatīt turpmākus pikšķerēšanas e-pastus upura kontaktpersonām.

Kampaņā izmantotais banku Trojas zirgs ir 32 bitu Windows DLL, kas kodēts Delphi programmēšanas valodā. Tam ir līdzības ar citām Brazīlijas ļaunprātīgas programmatūras ģimenēm, piemēram, Mekotio un Casbaneiro.

No otras puses, Horabot ir pikšķerēšanas robottīkla programma, kas paredzēta programmai Outlook. Tas ir rakstīts programmā PowerShell, un tam ir iespēja sūtīt pikšķerēšanas e-pastus uz visām upura pastkastē atrastajām e-pasta adresēm, tādējādi izplatot infekciju. Šī taktika ir apzināta stratēģija, ko izmanto apdraudējuma dalībnieks, lai samazinātu pikšķerēšanas infrastruktūras atklāšanas risku.