Zlonamerna programska oprema Horabot

Špansko govoreči uporabniki v Latinski Ameriki so bili tarča na novo odkrite zlonamerne programske opreme botneta, znane kot Horabot. Napadna kampanja naj bi bila aktivna vsaj od novembra 2020. Nevarni program akterjem groženj omogoča, da manipulirajo z Outlookovim nabiralnikom žrtve, ekstrahirajo e-poštne naslove iz njihovih stikov in pošiljajo lažna e-poštna sporočila, ki vsebujejo poškodovane priloge HTML, na vse naslove znotraj ogrožen nabiralnik.

Poleg teh zmožnosti zlonamerna programska oprema Horabot uporablja finančnega trojanca, ki temelji na sistemu Windows, in orodje za neželeno pošto. Te komponente so zasnovane za zbiranje občutljivih poverilnic spletnega bančništva in ogrožanje priljubljenih spletnih poštnih storitev, kot so Gmail, Outlook in Yahoo! Z dostopom do teh ogroženih računov lahko operaterji zlonamerne programske opreme sprostijo množico neželenih e-poštnih sporočil širokemu krogu prejemnikov.

Kibernetski kriminalci z zlonamerno programsko opremo Horabot ciljajo na več različnih panog

Po podatkih podjetja za kibernetsko varnost je bilo v Mehiki odkritih veliko število okužb, povezanih s kampanjo Horabot. Hkrati je bilo manj identificiranih žrtev v državah, kot so Urugvaj, Brazilija, Venezuela, Argentina, Gvatemala in Panama. Grožnja, ki je odgovorna za kampanjo, naj bi imela sedež v Braziliji.

Kampanja, ki je v teku, je namenjena uporabnikom, ki so predvsem vključeni v sektorje računovodstva, gradbeništva in inženiringa, distribucije na debelo in investicij. Vendar obstaja sum, da bi lahko ta grožnja prizadela tudi druge industrije v regiji.

Zlonamerna programska oprema Horabot je dostavljena prek večstopenjske verige napadov

Napadna kampanja se začne z e-poštnimi sporočili z lažnim predstavljanjem, ki uporabljajo teme, povezane z davki, da zvabijo prejemnike, da odprejo prilogo HTML. V tej prilogi je vdelana povezava, ki vodi do arhiva RAR.

Ko odprete datoteko, se izvede skript za prenos PowerShell, ki je odgovoren za pridobivanje datoteke ZIP, ki vsebuje primarno koristno obremenitev, z oddaljenega strežnika. Poleg tega se stroj med tem postopkom znova zažene.

Ponovni zagon sistema služi kot izhodiščna točka za bančni trojanec in orodje za neželeno pošto, ki povzročitelju grožnje omogoča zbiranje podatkov, snemanje pritiskov tipk, zajemanje posnetkov zaslona in distribucijo nadaljnjih lažnih e-poštnih sporočil kontaktom žrtve.

Bančni trojanec, uporabljen v kampanji, je 32-bitni Windows DLL, kodiran v programskem jeziku Delphi. Kaže podobnosti z drugimi brazilskimi družinami zlonamerne programske opreme, kot sta Mekotio in Casbaneiro.

Po drugi strani pa je Horabot botnetni program za lažno predstavljanje, zasnovan za Outlook. Napisan je v lupini PowerShell in ima zmožnost pošiljanja lažnih e-poštnih sporočil na vse e-poštne naslove, najdene v nabiralniku žrtve, in tako širi okužbo. Ta taktika je premišljena strategija, ki jo akter grožnje uporablja za zmanjšanje tveganja razkritja njihove lažne infrastrukture.