Horabot Malware

Utilizatorii vorbitori de spaniolă din America Latină au fost vizați de un malware de rețea botnet nou descoperit, cunoscut sub numele de Horabot. Se crede că campania de atac a fost activă din noiembrie 2020. Programul de amenințări oferă actorilor amenințărilor posibilitatea de a manipula căsuța poștală Outlook a victimei, de a extrage adrese de e-mail din contactele lor și de a trimite e-mailuri de phishing care conțin atașamente HTML corupte la toate adresele din interior. cutia poştală compromisă.

Pe lângă aceste capabilități, programul malware Horabot implementează un troian financiar bazat pe Windows și un instrument de spam. Aceste componente sunt concepute pentru a colecta acreditări sensibile bancare online și pentru a compromite serviciile populare de webmail, cum ar fi Gmail, Outlook și Yahoo! Cu acces la aceste conturi compromise, operatorii de programe malware pot lansa un torrent de e-mailuri spam către o gamă largă de destinatari.

Criminalii cibernetici vizează mai multe industrii diferite cu programul malware Horabot

Potrivit unei firme de securitate cibernetică, în Mexic au fost detectate un număr semnificativ de infecții legate de campania Horabot. În același timp, au fost mai puține victime identificate în țări precum Uruguay, Brazilia, Venezuela, Argentina, Guatemala și Panama. Se crede că actorul de amenințare responsabil pentru campanie are sediul în Brazilia.

Campania în curs de desfășurare vizează utilizatorii implicați în principal în sectoarele de contabilitate, construcții și inginerie, distribuție angro și investiții. Cu toate acestea, se suspectează că și alte industrii din regiune pot fi afectate de această amenințare.

Programul malware Horabot este livrat printr-un lanț de atac în mai multe etape

Campania de atac începe cu e-mailuri de phishing care folosesc teme legate de taxe pentru a atrage destinatarii să deschidă un atașament HTML. În acest atașament, este încorporat un link, care duce la o arhivă RAR.

La deschiderea fișierului, este executat un script de descărcare PowerShell, care este responsabil pentru preluarea unui fișier ZIP care conține încărcăturile utile principale de la un server la distanță. În plus, aparatul este repornit în timpul acestui proces.

Repornirea sistemului servește drept punct de lansare pentru troianul bancar și instrumentul de spam, permițând actorului amenințării să colecteze date, să înregistreze apăsările de la taste, să captureze capturi de ecran și să distribuie e-mailuri de phishing suplimentare persoanelor de contact ale victimei.

Troianul bancar folosit în campanie este un DLL Windows pe 32 de biți, codat în limbajul de programare Delphi. Prezintă asemănări cu alte familii de malware brazilian, cum ar fi Mekotio și Casbaneiro.

Pe de altă parte, Horabot este un program botnet de phishing conceput pentru Outlook. Este scris în PowerShell și are capacitatea de a trimite e-mailuri de phishing la toate adresele de e-mail găsite în căsuța poștală a victimei, răspândind astfel infecția. Această tactică este o strategie deliberată folosită de actorul amenințării pentru a reduce riscul expunerii infrastructurii de phishing.