Вредоносное ПО Хоработ

Недавно обнаруженная вредоносная программа ботнета, известная как Horabot, стала мишенью испаноязычных пользователей в Латинской Америке. Считается, что кампания атаки ведется по крайней мере с ноября 2020 года. Угрожающая программа предоставляет злоумышленникам возможность манипулировать почтовым ящиком Outlook жертвы, извлекать адреса электронной почты из их контактов и отправлять фишинговые электронные письма, содержащие поврежденные вложения HTML, на все адреса в пределах скомпрометированный почтовый ящик.

В дополнение к этим возможностям, вредоносное ПО Horabot развертывает финансового троянца на базе Windows и инструмент для спама. Эти компоненты предназначены для сбора конфиденциальных учетных данных онлайн-банкинга и компрометации популярных служб веб-почты, таких как Gmail, Outlook и Yahoo! Имея доступ к этим скомпрометированным учетным записям, операторы вредоносного ПО могут рассылать поток спама широкому кругу получателей.

Киберпреступники нацелены на несколько различных отраслей с помощью вредоносного ПО Horabot

По данным фирмы по кибербезопасности, в Мексике было обнаружено значительное количество заражений, связанных с кампанией Horabot. В то же время выявлено меньше жертв в таких странах, как Уругвай, Бразилия, Венесуэла, Аргентина, Гватемала и Панама. Считается, что злоумышленник, ответственный за кампанию, базируется в Бразилии.

Текущая кампания нацелена на пользователей, в основном занятых в бухгалтерском учете, строительстве и машиностроении, оптовой торговле и инвестиционном секторе. Однако есть подозрения, что эта угроза может затронуть и другие отрасли в регионе.

Вредоносное ПО Horabot доставляется через многоэтапную цепочку атак

Кампания атаки начинается с фишинговых писем, которые используют темы, связанные с налогами, чтобы заставить получателей открыть вложение HTML. В это вложение встроена ссылка, ведущая на архив RAR.

При открытии файла выполняется сценарий загрузчика PowerShell, который отвечает за получение ZIP-файла, содержащего основные полезные данные, с удаленного сервера. Кроме того, во время этого процесса компьютер перезагружается.

Перезапуск системы служит отправной точкой для банковского трояна и спам-инструмента, позволяя злоумышленнику собирать данные, записывать нажатия клавиш, делать снимки экрана и рассылать дальнейшие фишинговые электронные письма контактам жертвы.

Банковский троянец, использованный в кампании, представляет собой 32-битную Windows DLL, написанную на языке программирования Delphi. Он имеет сходство с другими бразильскими семействами вредоносных программ, такими как Mekotio и Casbaneiro.

С другой стороны, Horabot — это программа фишингового ботнета, разработанная для Outlook. Он написан на PowerShell и обладает способностью рассылать фишинговые письма на все адреса электронной почты, найденные в почтовом ящике жертвы, тем самым распространяя инфекцию. Эта тактика является преднамеренной стратегией, используемой злоумышленником для снижения риска раскрытия своей фишинговой инфраструктуры.