Malvér Horabot

Španielsky hovoriaci používatelia v Latinskej Amerike sa stali terčom novoobjaveného malvéru botnetu známeho ako Horabot. Predpokladá sa, že útočná kampaň je aktívna prinajmenšom od novembra 2020. Hrozivý program poskytuje aktérom hrozieb možnosť manipulovať s poštovou schránkou obete v Outlooku, extrahovať e-mailové adresy z ich kontaktov a posielať phishingové e-maily obsahujúce poškodené prílohy HTML na všetky adresy v rámci napadnutú poštovú schránku.

Okrem týchto schopností Horabot Malware nasadzuje finančný trójsky kôň založený na systéme Windows a nástroj na spam. Tieto komponenty sú navrhnuté tak, aby zbierali citlivé prihlasovacie údaje online bankovníctva a ohrozovali populárne webmailové služby, ako sú Gmail, Outlook a Yahoo! S prístupom k týmto ohrozeným účtom môžu prevádzkovatelia škodlivého softvéru rozpútať príval spamových e-mailov pre širokú škálu príjemcov.

Počítačoví zločinci sa pomocou malvéru Horabot zameriavajú na niekoľko rôznych odvetví

Podľa firmy zaoberajúcej sa kybernetickou bezpečnosťou bol v Mexiku zistený značný počet infekcií súvisiacich s kampaňou Horabot. Zároveň je menej identifikovaných obetí v krajinách ako Uruguaj, Brazília, Venezuela, Argentína, Guatemala a Panama. Predpokladá sa, že aktér hrozby zodpovedný za kampaň sídli v Brazílii.

Prebiehajúca kampaň sa zameriava predovšetkým na používateľov, ktorí sa zaoberajú účtovníctvom, stavebníctvom a strojárstvom, veľkoobchodnou distribúciou a investičným sektorom. Existuje však podozrenie, že touto hrozbou môžu byť zasiahnuté aj iné odvetvia v regióne.

Malvér Horabot je dodávaný prostredníctvom viacstupňového útočného reťazca

Útočná kampaň začína phishingovými e-mailami, ktoré využívajú témy súvisiace s daňami, aby nalákali príjemcov na otvorenie prílohy HTML. V tejto prílohe je vložený odkaz, ktorý vedie k archívu RAR.

Po otvorení súboru sa spustí skript sťahovania PowerShell, ktorý je zodpovedný za načítanie súboru ZIP obsahujúceho primárne užitočné zaťaženia zo vzdialeného servera. Okrem toho sa počas tohto procesu počítač reštartuje.

Reštart systému slúži ako spúšťací bod pre bankový trójsky kôň a spamový nástroj, ktorý umožňuje aktérovi hrozby zbierať údaje, zaznamenávať stlačenia klávesov, zachytávať snímky obrazovky a distribuovať ďalšie phishingové e-maily kontaktom obete.

Bankový trójsky kôň použitý v kampani je 32-bitová Windows DLL kódovaná v programovacom jazyku Delphi. Vykazuje podobnosti s inými brazílskymi rodinami škodlivého softvéru, ako sú Mekotio a Casbaneiro.

Na druhej strane, Horabot je phishingový botnetový program určený pre Outlook. Je napísaný v prostredí PowerShell a má schopnosť odosielať phishingové e-maily na všetky e-mailové adresy nájdené v poštovej schránke obete, čím sa šíri infekcia. Táto taktika je zámernou stratégiou, ktorú používa aktér hrozby na zníženie rizika odhalenia svojej phishingovej infraštruktúry.