హోరాబోట్ మాల్వేర్
లాటిన్ అమెరికాలోని స్పానిష్ మాట్లాడే వినియోగదారులు కొత్తగా కనుగొన్న హొరాబోట్ అని పిలువబడే బోట్నెట్ మాల్వేర్ ద్వారా లక్ష్యంగా చేసుకున్నారు. దాడి ప్రచారం కనీసం నవంబర్ 2020 నుండి యాక్టివ్గా ఉన్నట్లు విశ్వసించబడింది. బెదిరింపు కార్యక్రమం బెదిరింపు నటీనటులకు బాధితుల Outlook మెయిల్బాక్స్ను మార్చగల సామర్థ్యాన్ని అందిస్తుంది, వారి పరిచయాల నుండి ఇమెయిల్ చిరునామాలను సంగ్రహిస్తుంది మరియు పాడైన HTML జోడింపులను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్లను అన్ని చిరునామాలకు పంపుతుంది రాజీపడిన మెయిల్బాక్స్.
ఈ సామర్థ్యాలకు అదనంగా, Horabot మాల్వేర్ Windows-ఆధారిత ఆర్థిక ట్రోజన్ మరియు స్పామ్ సాధనాన్ని అమలు చేస్తుంది. ఈ భాగాలు సున్నితమైన ఆన్లైన్ బ్యాంకింగ్ ఆధారాలను సేకరించేందుకు మరియు Gmail, Outlook మరియు Yahoo! వంటి ప్రసిద్ధ వెబ్మెయిల్ సేవలను రాజీ చేయడానికి రూపొందించబడ్డాయి! ఈ రాజీపడిన ఖాతాలకు యాక్సెస్తో, మాల్వేర్ ఆపరేటర్లు విస్తృత శ్రేణి గ్రహీతలకు స్పామ్ ఇమెయిల్ల యొక్క టొరెంట్ను విడుదల చేయవచ్చు.
సైబర్ నేరగాళ్లు హోరాబోట్ మాల్వేర్తో అనేక విభిన్న పరిశ్రమలను లక్ష్యంగా చేసుకున్నారు
సైబర్ సెక్యూరిటీ సంస్థ ప్రకారం, మెక్సికోలో హొరాబోట్ ప్రచారానికి సంబంధించి గణనీయమైన సంఖ్యలో ఇన్ఫెక్షన్లు కనుగొనబడ్డాయి. అదే సమయంలో, ఉరుగ్వే, బ్రెజిల్, వెనిజులా, అర్జెంటీనా, గ్వాటెమాల మరియు పనామా వంటి దేశాల్లో తక్కువ మంది బాధితులు ఉన్నారు. ప్రచారానికి కారణమైన బెదిరింపు నటుడు బ్రెజిల్లో ఉన్నాడని నమ్ముతారు.
కొనసాగుతున్న ప్రచారం ప్రధానంగా అకౌంటింగ్, నిర్మాణం మరియు ఇంజనీరింగ్, హోల్సేల్ పంపిణీ మరియు పెట్టుబడి రంగాలలో పాల్గొన్న వినియోగదారులను లక్ష్యంగా చేసుకుంటుంది. అయితే, ఈ ముప్పు వల్ల ఈ ప్రాంతంలోని ఇతర పరిశ్రమలు కూడా ప్రభావితమయ్యే అవకాశం ఉందని అనుమానిస్తున్నారు.
హోరాబోట్ మాల్వేర్ మల్టీ-స్టేజ్ అటాక్ చైన్ ద్వారా డెలివరీ చేయబడింది
HTML అటాచ్మెంట్ను తెరవడానికి గ్రహీతలను ఆకర్షించడానికి పన్ను సంబంధిత థీమ్లను ఉపయోగించే ఫిషింగ్ ఇమెయిల్లతో దాడి ప్రచారం ప్రారంభమవుతుంది. ఈ జోడింపులో, ఒక లింక్ పొందుపరచబడింది, ఇది RAR ఆర్కైవ్కు దారి తీస్తుంది.
ఫైల్ను తెరిచిన తర్వాత, పవర్షెల్ డౌన్లోడర్ స్క్రిప్ట్ అమలు చేయబడుతుంది, ఇది రిమోట్ సర్వర్ నుండి ప్రాథమిక పేలోడ్లను కలిగి ఉన్న జిప్ ఫైల్ను తిరిగి పొందడానికి బాధ్యత వహిస్తుంది. అదనంగా, ఈ ప్రక్రియలో యంత్రం రీబూట్ చేయబడుతుంది.
సిస్టమ్ పునఃప్రారంభం బ్యాంకింగ్ ట్రోజన్ మరియు స్పామ్ సాధనం కోసం ఒక లాంచ్ పాయింట్గా పనిచేస్తుంది, ముప్పు నటుడిని డేటాను సేకరించడానికి, కీస్ట్రోక్లను రికార్డ్ చేయడానికి, స్క్రీన్షాట్లను క్యాప్చర్ చేయడానికి మరియు బాధితుడి పరిచయాలకు తదుపరి ఫిషింగ్ ఇమెయిల్లను పంపిణీ చేయడానికి వీలు కల్పిస్తుంది.
ప్రచారంలో ఉపయోగించిన బ్యాంకింగ్ ట్రోజన్ డెల్ఫీ ప్రోగ్రామింగ్ భాషలో కోడ్ చేయబడిన 32-బిట్ విండోస్ DLL. ఇది మెకోటియో మరియు కాస్బనీరో వంటి ఇతర బ్రెజిలియన్ మాల్వేర్ కుటుంబాలతో సారూప్యతను ప్రదర్శిస్తుంది.
మరోవైపు, Horabot అనేది Outlook కోసం రూపొందించబడిన ఫిషింగ్ బోట్నెట్ ప్రోగ్రామ్. ఇది పవర్షెల్లో వ్రాయబడింది మరియు బాధితుల మెయిల్బాక్స్లో కనిపించే అన్ని ఇమెయిల్ చిరునామాలకు ఫిషింగ్ ఇమెయిల్లను పంపగల సామర్థ్యాన్ని కలిగి ఉంటుంది, తద్వారా ఇన్ఫెక్షన్ వ్యాప్తి చెందుతుంది. ఈ వ్యూహం వారి ఫిషింగ్ ఇన్ఫ్రాస్ట్రక్చర్ను బహిర్గతం చేసే ప్రమాదాన్ని తగ్గించడానికి బెదిరింపు నటుడు ఉపయోగించిన ఉద్దేశపూర్వక వ్యూహం.