Хоработ Малваре

Корисници који говоре шпански у Латинској Америци били су на мети новооткривеног малвера за ботнет познат као Хоработ. Верује се да је кампања напада активна најмање од новембра 2020. Програм претњи даје актерима претњи могућност да манипулишу Оутлоок поштанским сандучетом жртве, извлаче адресе е-поште из њихових контаката и шаљу е-поруке које садрже оштећене ХТМЛ прилоге на све адресе унутар угрожено поштанско сандуче.

Поред ових могућности, Хоработ Малваре примењује финансијски тројанац заснован на Виндовс-у и алатку за нежељену пошту. Ове компоненте су дизајниране да прикупе осетљиве акредитиве за онлајн банкарство и компромитују популарне услуге веб поште као што су Гмаил, Оутлоок и Иахоо! Са приступом овим угроженим налозима, оператери злонамерног софтвера могу да ослободе бујицу нежељене е-поште широком спектру прималаца.

Сајбер криминалци циљају на неколико различитих индустрија са Хоработ малвером

Према фирми за сајбер безбедност, значајан број инфекција повезаних са кампањом Хоработ откривен је у Мексику. Истовремено, мање је идентификованих жртава у земљама као што су Уругвај, Бразил, Венецуела, Аргентина, Гватемала и Панама. Верује се да се актер претње одговоран за кампању налази у Бразилу.

Кампања која је у току циља на кориснике који су првенствено укључени у секторе рачуноводства, грађевинарства и инжењеринга, велепродајне дистрибуције и инвестиција. Међутим, сумња се да би и друге индустрије у региону могле бити погођене овом претњом.

Хоработ злонамерни софтвер се испоручује преко вишестепеног ланца напада

Кампања напада почиње са пхисхинг имејловима који користе теме везане за порезе како би намамили примаоце да отворе ХТМЛ прилог. Унутар овог прилога је уграђена веза која води до РАР архиве.

Након отварања датотеке, извршава се скрипта за преузимање ПоверСхелл-а, која је одговорна за преузимање ЗИП датотеке која садржи примарне корисне податке са удаљеног сервера. Поред тога, машина се поново покреће током овог процеса.

Поновно покретање система служи као почетна тачка за банкарски тројанац и алатку за нежељену пошту, омогућавајући актеру претње да прикупи податке, сними притисак на тастере, направи снимке екрана и дистрибуира даље пхисхинг емаилове контактима жртве.

Банкарски тројанац који се користи у кампањи је 32-битни Виндовс ДЛЛ кодиран у програмском језику Делпхи. Он показује сличности са другим бразилским породицама малвера, као што су Мекотио и Цасбанеиро.

С друге стране, Хоработ је програм за пхисхинг ботнет дизајниран за Оутлоок. Написан је у ПоверСхелл-у и поседује могућност слања пхисхинг е-порука на све адресе е-поште које се налазе у поштанском сандучету жртве, чиме се шири инфекција. Ова тактика је намерна стратегија коју користи актер претње како би смањио ризик од разоткривања своје инфраструктуре за пхисхинг.