Horabot मालवेयर
ल्याटिन अमेरिकामा स्पेनी भाषा बोल्ने प्रयोगकर्ताहरूलाई होराबोट भनेर चिनिने नयाँ पत्ता लागेको बोटनेट मालवेयरद्वारा लक्षित गरिएको छ। आक्रमण अभियान कम्तिमा नोभेम्बर २०२० देखि सक्रिय रहेको विश्वास गरिन्छ। धम्की दिने कार्यक्रमले धम्की दिने व्यक्तिहरूलाई पीडितको आउटलुक मेलबक्सलाई हेरफेर गर्ने, उनीहरूको सम्पर्कहरूबाट इमेल ठेगानाहरू निकाल्ने र भित्रका सबै ठेगानाहरूमा भ्रष्ट HTML संलग्नहरू समावेश भएको फिसिङ इमेलहरू पठाउने क्षमता प्रदान गर्दछ। सम्झौता गरिएको मेलबक्स।
यी क्षमताहरूका अतिरिक्त, होराबोट मालवेयरले Windows-आधारित वित्तीय ट्रोजन र स्प्याम उपकरण प्रयोग गर्दछ। यी कम्पोनेन्टहरू संवेदनशील अनलाइन बैंकिङ प्रमाणहरू प्राप्त गर्न र लोकप्रिय वेबमेल सेवाहरू जस्तै Gmail, Outlook र Yahoo! यी सम्झौता गरिएका खाताहरूमा पहुँचको साथ, मालवेयर अपरेटरहरूले प्राप्तकर्ताहरूको विस्तृत दायरामा स्प्याम इमेलहरूको टोरेन्ट खोल्न सक्छन्।
साइबर अपराधीहरूले होराबोट मालवेयरको साथ धेरै फरक उद्योगहरूलाई लक्षित गर्छन्
साइबरसेक्युरिटी फर्मका अनुसार मेक्सिकोमा होराबोट अभियानसँग सम्बन्धित धेरै सङ्क्रमणहरू भेटिएका छन्। एकै समयमा, उरुग्वे, ब्राजिल, भेनेजुएला, अर्जेन्टिना, ग्वाटेमाला र पानामा जस्ता देशहरूमा कम पहिचान गरिएका पीडितहरू छन्। अभियानको लागि जिम्मेवार धम्की अभिनेता ब्राजिलमा आधारित रहेको विश्वास गरिन्छ।
चलिरहेको अभियानले लेखा, निर्माण र ईन्जिनियरिङ्, थोक वितरण, र लगानी क्षेत्रहरूमा मुख्य रूपमा संलग्न प्रयोगकर्ताहरूलाई लक्षित गर्दछ। तर, यस क्षेत्रका अन्य उद्योग पनि यस खतराबाट प्रभावित हुन सक्ने आशंका गरिएको छ ।
Horabot मालवेयर बहु-चरण आक्रमण श्रृंखला मार्फत डेलिभर गरिएको छ
आक्रमण अभियान फिसिङ इमेलहरूबाट सुरु हुन्छ जसले कर-सम्बन्धित विषयवस्तुहरू प्रयोग गरी प्राप्तकर्ताहरूलाई HTML संलग्नक खोल्न प्रलोभन दिन्छ। यस एट्याचमेन्ट भित्र, एउटा लिङ्क इम्बेड गरिएको छ, जसले RAR संग्रहमा लैजान्छ।
फाइल खोल्दा, PowerShell डाउनलोडर स्क्रिप्ट निष्पादित हुन्छ, जुन रिमोट सर्भरबाट प्राथमिक पेलोडहरू समावेश भएको ZIP फाइल पुन: प्राप्त गर्न जिम्मेवार हुन्छ। थप रूपमा, यो प्रक्रियाको क्रममा मेसिन रिबुट हुन्छ।
प्रणाली रिस्टार्टले बैंकिङ ट्रोजन र स्प्याम उपकरणको लागि सुरुवात बिन्दुको रूपमा काम गर्दछ, जसले खतरा अभिनेतालाई डेटा सङ्कलन गर्न, किस्ट्रोकहरू रेकर्ड गर्न, स्क्रिनसटहरू खिच्न र पीडितको सम्पर्कहरूमा थप फिसिङ इमेलहरू वितरण गर्न सक्षम पार्छ।
अभियानमा प्रयोग गरिएको बैंकिङ ट्रोजन डेल्फी प्रोग्रामिङ भाषामा कोड गरिएको 32-बिट Windows DLL हो। यसले अन्य ब्राजिलियन मालवेयर परिवारहरू जस्तै मेकोटियो र कासबानेरोसँग समानताहरू प्रदर्शन गर्दछ।
अर्कोतर्फ, होराबोट आउटलुकको लागि डिजाइन गरिएको फिसिङ बोटनेट प्रोग्राम हो। यो PowerShell मा लेखिएको छ र पीडितको मेलबक्समा फेला परेका सबै इमेल ठेगानाहरूमा फिसिङ इमेलहरू पठाउन सक्ने क्षमता छ, जसले गर्दा संक्रमण फैलिन्छ। यो रणनीति आफ्नो फिसिङ पूर्वाधार पर्दाफास गर्ने जोखिम कम गर्न खतरा अभिनेता द्वारा नियोजित एक जानाजानी रणनीति हो।
