హోరాబోట్ మాల్వేర్

లాటిన్ అమెరికాలోని స్పానిష్ మాట్లాడే వినియోగదారులు కొత్తగా కనుగొన్న హొరాబోట్ అని పిలువబడే బోట్‌నెట్ మాల్వేర్ ద్వారా లక్ష్యంగా చేసుకున్నారు. దాడి ప్రచారం కనీసం నవంబర్ 2020 నుండి యాక్టివ్‌గా ఉన్నట్లు విశ్వసించబడింది. బెదిరింపు కార్యక్రమం బెదిరింపు నటీనటులకు బాధితుల Outlook మెయిల్‌బాక్స్‌ను మార్చగల సామర్థ్యాన్ని అందిస్తుంది, వారి పరిచయాల నుండి ఇమెయిల్ చిరునామాలను సంగ్రహిస్తుంది మరియు పాడైన HTML జోడింపులను కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌లను అన్ని చిరునామాలకు పంపుతుంది రాజీపడిన మెయిల్‌బాక్స్.

ఈ సామర్థ్యాలకు అదనంగా, Horabot మాల్వేర్ Windows-ఆధారిత ఆర్థిక ట్రోజన్ మరియు స్పామ్ సాధనాన్ని అమలు చేస్తుంది. ఈ భాగాలు సున్నితమైన ఆన్‌లైన్ బ్యాంకింగ్ ఆధారాలను సేకరించేందుకు మరియు Gmail, Outlook మరియు Yahoo! వంటి ప్రసిద్ధ వెబ్‌మెయిల్ సేవలను రాజీ చేయడానికి రూపొందించబడ్డాయి! ఈ రాజీపడిన ఖాతాలకు యాక్సెస్‌తో, మాల్వేర్ ఆపరేటర్‌లు విస్తృత శ్రేణి గ్రహీతలకు స్పామ్ ఇమెయిల్‌ల యొక్క టొరెంట్‌ను విడుదల చేయవచ్చు.

సైబర్ నేరగాళ్లు హోరాబోట్ మాల్వేర్‌తో అనేక విభిన్న పరిశ్రమలను లక్ష్యంగా చేసుకున్నారు

సైబర్‌ సెక్యూరిటీ సంస్థ ప్రకారం, మెక్సికోలో హొరాబోట్ ప్రచారానికి సంబంధించి గణనీయమైన సంఖ్యలో ఇన్‌ఫెక్షన్‌లు కనుగొనబడ్డాయి. అదే సమయంలో, ఉరుగ్వే, బ్రెజిల్, వెనిజులా, అర్జెంటీనా, గ్వాటెమాల మరియు పనామా వంటి దేశాల్లో తక్కువ మంది బాధితులు ఉన్నారు. ప్రచారానికి కారణమైన బెదిరింపు నటుడు బ్రెజిల్‌లో ఉన్నాడని నమ్ముతారు.

కొనసాగుతున్న ప్రచారం ప్రధానంగా అకౌంటింగ్, నిర్మాణం మరియు ఇంజనీరింగ్, హోల్‌సేల్ పంపిణీ మరియు పెట్టుబడి రంగాలలో పాల్గొన్న వినియోగదారులను లక్ష్యంగా చేసుకుంటుంది. అయితే, ఈ ముప్పు వల్ల ఈ ప్రాంతంలోని ఇతర పరిశ్రమలు కూడా ప్రభావితమయ్యే అవకాశం ఉందని అనుమానిస్తున్నారు.

హోరాబోట్ మాల్వేర్ మల్టీ-స్టేజ్ అటాక్ చైన్ ద్వారా డెలివరీ చేయబడింది

HTML అటాచ్‌మెంట్‌ను తెరవడానికి గ్రహీతలను ఆకర్షించడానికి పన్ను సంబంధిత థీమ్‌లను ఉపయోగించే ఫిషింగ్ ఇమెయిల్‌లతో దాడి ప్రచారం ప్రారంభమవుతుంది. ఈ జోడింపులో, ఒక లింక్ పొందుపరచబడింది, ఇది RAR ఆర్కైవ్‌కు దారి తీస్తుంది.

ఫైల్‌ను తెరిచిన తర్వాత, పవర్‌షెల్ డౌన్‌లోడర్ స్క్రిప్ట్ అమలు చేయబడుతుంది, ఇది రిమోట్ సర్వర్ నుండి ప్రాథమిక పేలోడ్‌లను కలిగి ఉన్న జిప్ ఫైల్‌ను తిరిగి పొందడానికి బాధ్యత వహిస్తుంది. అదనంగా, ఈ ప్రక్రియలో యంత్రం రీబూట్ చేయబడుతుంది.

సిస్టమ్ పునఃప్రారంభం బ్యాంకింగ్ ట్రోజన్ మరియు స్పామ్ సాధనం కోసం ఒక లాంచ్ పాయింట్‌గా పనిచేస్తుంది, ముప్పు నటుడిని డేటాను సేకరించడానికి, కీస్ట్రోక్‌లను రికార్డ్ చేయడానికి, స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేయడానికి మరియు బాధితుడి పరిచయాలకు తదుపరి ఫిషింగ్ ఇమెయిల్‌లను పంపిణీ చేయడానికి వీలు కల్పిస్తుంది.

ప్రచారంలో ఉపయోగించిన బ్యాంకింగ్ ట్రోజన్ డెల్ఫీ ప్రోగ్రామింగ్ భాషలో కోడ్ చేయబడిన 32-బిట్ విండోస్ DLL. ఇది మెకోటియో మరియు కాస్బనీరో వంటి ఇతర బ్రెజిలియన్ మాల్వేర్ కుటుంబాలతో సారూప్యతను ప్రదర్శిస్తుంది.

మరోవైపు, Horabot అనేది Outlook కోసం రూపొందించబడిన ఫిషింగ్ బోట్‌నెట్ ప్రోగ్రామ్. ఇది పవర్‌షెల్‌లో వ్రాయబడింది మరియు బాధితుల మెయిల్‌బాక్స్‌లో కనిపించే అన్ని ఇమెయిల్ చిరునామాలకు ఫిషింగ్ ఇమెయిల్‌లను పంపగల సామర్థ్యాన్ని కలిగి ఉంటుంది, తద్వారా ఇన్‌ఫెక్షన్ వ్యాప్తి చెందుతుంది. ఈ వ్యూహం వారి ఫిషింగ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను బహిర్గతం చేసే ప్రమాదాన్ని తగ్గించడానికి బెదిరింపు నటుడు ఉపయోగించిన ఉద్దేశపూర్వక వ్యూహం.