Złośliwe oprogramowanie Horabot

Hiszpańskojęzyczni użytkownicy w Ameryce Łacińskiej stali się celem nowo odkrytego złośliwego oprogramowania typu botnet, znanego jako Horabot. Uważa się, że kampania ataków była aktywna co najmniej od listopada 2020 r. Groźny program zapewnia cyberprzestępcom możliwość manipulowania skrzynką pocztową ofiary w programie Outlook, wydobywania adresów e-mail z ich kontaktów i wysyłania e-maili phishingowych zawierających uszkodzone załączniki HTML na wszystkie adresy w obrębie zaatakowana skrzynka pocztowa.

Oprócz tych możliwości, Horabot Malware wdraża finansowego trojana opartego na systemie Windows i narzędzie do spamu. Komponenty te mają na celu zbieranie poufnych danych uwierzytelniających bankowości internetowej i narażanie na szwank popularnych usług poczty internetowej, takich jak Gmail, Outlook i Yahoo! Mając dostęp do tych przejętych kont, operatorzy złośliwego oprogramowania mogą uwolnić potok wiadomości spamowych do szerokiego grona odbiorców.

Cyberprzestępcy atakują kilka różnych branż za pomocą złośliwego oprogramowania Horabot

Według firmy zajmującej się cyberbezpieczeństwem w Meksyku wykryto znaczną liczbę infekcji związanych z kampanią Horabot. Jednocześnie w krajach takich jak Urugwaj, Brazylia, Wenezuela, Argentyna, Gwatemala i Panama zidentyfikowano mniej ofiar. Uważa się, że cyberprzestępca odpowiedzialny za kampanię ma swoją siedzibę w Brazylii.

Trwająca kampania skierowana jest przede wszystkim do użytkowników związanych z księgowością, budownictwem i inżynierią, dystrybucją hurtową oraz inwestycjami. Podejrzewa się jednak, że zagrożenie to może dotknąć także inne branże w regionie.

Złośliwe oprogramowanie Horabot jest dostarczane za pośrednictwem wieloetapowego łańcucha ataków

Kampania ataku rozpoczyna się od e-maili phishingowych, które wykorzystują motywy podatkowe, aby nakłonić odbiorców do otwarcia załącznika HTML. W tym załączniku osadzone jest łącze prowadzące do archiwum RAR.

Po otwarciu pliku wykonywany jest skrypt downloadera PowerShell, który jest odpowiedzialny za pobranie pliku ZIP zawierającego podstawowe ładunki ze zdalnego serwera. Ponadto podczas tego procesu komputer jest ponownie uruchamiany.

Ponowne uruchomienie systemu służy jako punkt startowy dla trojana bankowego i narzędzia spamowego, umożliwiając cyberprzestępcy gromadzenie danych, rejestrowanie naciśnięć klawiszy, przechwytywanie zrzutów ekranu i rozsyłanie kolejnych e-maili phishingowych do kontaktów ofiary.

Trojan bankowy wykorzystany w kampanii to 32-bitowa biblioteka DLL systemu Windows zakodowana w języku programowania Delphi. Wykazuje podobieństwa z innymi brazylijskimi rodzinami złośliwego oprogramowania, takimi jak Mekotio i Casbaneiro.

Z drugiej strony Horabot to botnet phishingowy przeznaczony dla programu Outlook. Jest napisany w PowerShell i posiada możliwość wysyłania e-maili phishingowych na wszystkie adresy e-mail znalezione w skrzynce pocztowej ofiary, rozprzestrzeniając w ten sposób infekcję. Ta taktyka jest celową strategią stosowaną przez cyberprzestępcę w celu zmniejszenia ryzyka ujawnienia infrastruktury phishingowej.