Horabot Malware

Pengguna berbahasa Sepanyol di Amerika Latin telah disasarkan oleh perisian hasad botnet yang baru ditemui dikenali sebagai Horabot. Kempen serangan dipercayai telah aktif sejak sekurang-kurangnya November 2020. Program mengancam memberikan aktor ancaman keupayaan untuk memanipulasi peti mel Outlook mangsa, mengekstrak alamat e-mel daripada kenalan mereka dan menghantar e-mel pancingan data yang mengandungi lampiran HTML yang rosak ke semua alamat dalam peti mel yang terjejas.

Sebagai tambahan kepada keupayaan ini, Horabot Malware menggunakan Trojan kewangan berasaskan Windows dan alat spam. Komponen ini direka bentuk untuk mendapatkan bukti kelayakan perbankan dalam talian yang sensitif dan menjejaskan perkhidmatan mel web yang popular seperti Gmail, Outlook dan Yahoo! Dengan akses kepada akaun yang terjejas ini, pengendali perisian hasad boleh mengeluarkan torrent e-mel spam kepada pelbagai penerima.

Penjenayah Siber Menyasarkan Beberapa Industri Berbeza dengan Perisian Hasad Horabot

Menurut firma keselamatan siber, sejumlah besar jangkitan berkaitan kempen Horabot telah dikesan di Mexico. Pada masa yang sama, terdapat lebih sedikit mangsa yang dikenal pasti di negara-negara seperti Uruguay, Brazil, Venezuela, Argentina, Guatemala dan Panama. Aktor ancaman yang bertanggungjawab untuk kempen itu dipercayai berpangkalan di Brazil.

Kempen yang sedang berjalan menyasarkan pengguna yang terlibat terutamanya dalam sektor perakaunan, pembinaan dan kejuruteraan, pengedaran borong dan pelaburan. Bagaimanapun, disyaki industri lain di rantau ini juga mungkin terjejas oleh ancaman ini.

Perisian Hasad Horabot Dihantar melalui Rantaian Serangan Berbilang Peringkat

Kempen serangan bermula dengan e-mel pancingan data yang menggunakan tema berkaitan cukai untuk menarik penerima membuka lampiran HTML. Dalam lampiran ini, pautan dibenamkan, membawa kepada arkib RAR.

Selepas membuka fail, skrip pemuat turun PowerShell dilaksanakan, yang bertanggungjawab untuk mendapatkan semula fail ZIP yang mengandungi muatan utama daripada pelayan jauh. Selain itu, mesin dibut semula semasa proses ini.

Mulakan semula sistem berfungsi sebagai titik pelancaran untuk trojan perbankan dan alat spam, membolehkan pelaku ancaman mengumpul data, merekod ketukan kekunci, menangkap tangkapan skrin dan mengedarkan e-mel pancingan data selanjutnya kepada kenalan mangsa.

Trojan perbankan yang digunakan dalam kempen ialah DLL Windows 32-bit yang dikodkan dalam bahasa pengaturcaraan Delphi. Ia mempamerkan persamaan dengan keluarga malware Brazil yang lain, seperti Mekotio dan Casbaneiro.

Sebaliknya, Horabot ialah program botnet pancingan data yang direka untuk Outlook. Ia ditulis dalam PowerShell dan mempunyai keupayaan untuk menghantar e-mel pancingan data ke semua alamat e-mel yang terdapat dalam peti mel mangsa, dengan itu menyebarkan jangkitan. Taktik ini adalah strategi yang disengajakan oleh pelaku ancaman untuk mengurangkan risiko mendedahkan infrastruktur pancingan data mereka.