Malware Horabot

Përdoruesit që flasin spanjisht në Amerikën Latine janë shënjestruar nga një malware botnet i sapo zbuluar i njohur si Horabot. Fushata e sulmit besohet të ketë qenë aktive që nga nëntori 2020. Programi kërcënues u jep aktorëve të kërcënimit mundësinë për të manipuluar kutinë postare të Outlook të viktimës, për të nxjerrë adresat e emailit nga kontaktet e tyre dhe për të dërguar email phishing që përmbajnë bashkëngjitje të korruptuara HTML në të gjitha adresat brenda kuti postare e komprometuar.

Përveç këtyre aftësive, Horabot Malware vendos një Trojan financiar të bazuar në Windows dhe një mjet spam. Këta komponentë janë krijuar për të mbledhur kredenciale të ndjeshme bankare në internet dhe për të komprometuar shërbimet e njohura të postës elektronike në internet si Gmail, Outlook dhe Yahoo! Me akses në këto llogari të komprometuara, operatorët e malware mund të lëshojnë një përrua emailesh të padëshiruara për një gamë të gjerë marrësish.

Kriminelët kibernetikë synojnë disa industri të ndryshme me malware Horabot

Sipas një firme të sigurisë kibernetike, një numër i konsiderueshëm i infeksioneve të lidhura me fushatën Horabot janë zbuluar në Meksikë. Në të njëjtën kohë, ka pasur më pak viktima të identifikuara në vende si Uruguai, Brazili, Venezuela, Argjentina, Guatemala dhe Panamaja. Aktori i kërcënimit përgjegjës për fushatën besohet të jetë me qendër në Brazil.

Fushata në vazhdim synon përdoruesit e përfshirë kryesisht në sektorët e kontabilitetit, ndërtimit dhe inxhinierisë, shpërndarjes me shumicë dhe investimeve. Megjithatë, dyshohet se nga ky kërcënim mund të preken edhe industri të tjera në rajon.

Malware Horabot shpërndahet përmes një zinxhiri sulmi me shumë faza

Fushata e sulmit fillon me email phishing që përdorin tema të lidhura me taksat për të joshur marrësit që të hapin një shtojcë HTML. Brenda kësaj bashkëngjitjeje, është ngulitur një lidhje, e cila çon në një arkiv RAR.

Me hapjen e skedarit, ekzekutohet një skrip i shkarkimit të PowerShell, i cili është përgjegjës për marrjen e një skedari ZIP që përmban ngarkesat kryesore nga një server në distancë. Për më tepër, makina rindizet gjatë këtij procesi.

Rinisja e sistemit shërben si një pikë nisjeje për trojanin bankar dhe mjetin e postës së padëshiruar, duke i mundësuar aktorit të kërcënimit të mbledhë të dhëna, të regjistrojë goditjet e tasteve, të kapë pamje nga ekrani dhe të shpërndajë emaile të mëtejshme phishing tek kontaktet e viktimës.

Trojani bankar i përdorur në fushatë është një Windows DLL 32-bit i koduar në gjuhën e programimit Delphi. Ai shfaq ngjashmëri me familje të tjera malware braziliane, si Mekotio dhe Casbaneiro.

Nga ana tjetër, Horabot është një program botnet phishing i krijuar për Outlook. Është shkruar në PowerShell dhe ka aftësinë për të dërguar email phishing në të gjitha adresat e emailit që gjenden në kutinë postare të viktimës, duke përhapur kështu infeksionin. Kjo taktikë është një strategji e qëllimshme e përdorur nga aktori i kërcënimit për të zvogëluar rrezikun e ekspozimit të infrastrukturës së tyre të phishing.