Horabot Malware

Ang mga user na nagsasalita ng Espanyol sa Latin America ay na-target ng isang bagong natuklasang botnet malware na kilala bilang Horabot. Ang kampanya sa pag-atake ay pinaniniwalaang naging aktibo mula noong hindi bababa sa Nobyembre 2020. Ang nagbabantang programa ay nagbibigay sa mga aktor ng pagbabanta ng kakayahang manipulahin ang Outlook mailbox ng biktima, kunin ang mga email address mula sa kanilang mga contact, at magpadala ng mga phishing na email na naglalaman ng mga sirang HTML attachment sa lahat ng mga address sa loob ang nakompromisong mailbox.

Bilang karagdagan sa mga kakayahang ito, ang Horabot Malware ay nag-deploy ng isang Windows-based na financial Trojan at isang spam tool. Ang mga bahaging ito ay idinisenyo upang mag-ani ng mga sensitibong kredensyal sa online banking at ikompromiso ang mga sikat na serbisyo sa webmail gaya ng Gmail, Outlook at Yahoo! Sa pamamagitan ng pag-access sa mga nakompromisong account na ito, ang mga operator ng malware ay maaaring magpalabas ng torrent ng mga spam na email sa isang malawak na hanay ng mga tatanggap.

Tinatarget ng mga Cybercriminal ang Ilang Iba't ibang Industriya gamit ang Horabot Malware

Ayon sa isang cybersecurity firm, malaking bilang ng mga impeksyong nauugnay sa kampanya ng Horabot ang natukoy sa Mexico. Kasabay nito, mas kaunti ang mga natukoy na biktima sa mga bansa tulad ng Uruguay, Brazil, Venezuela, Argentina, Guatemala at Panama. Ang threat actor na responsable sa kampanya ay pinaniniwalaang nakabase sa Brazil.

Ang patuloy na kampanya ay nagta-target sa mga user na pangunahing sangkot sa accounting, construction at engineering, wholesale distribution, at investment sectors. Gayunpaman, pinaghihinalaang maaaring maapektuhan din ng banta na ito ang ibang industriya sa rehiyon.

Ang Horabot Malware ay Inihahatid sa pamamagitan ng Multi-Stage Attack Chain

Ang kampanya ng pag-atake ay nagsisimula sa mga email na phishing na gumagamit ng mga tema na nauugnay sa buwis upang akitin ang mga tatanggap na magbukas ng HTML attachment. Sa loob ng attachment na ito, may naka-embed na link, na humahantong sa isang RAR archive.

Sa pagbukas ng file, isang PowerShell downloader script ang ipapatupad, na responsable para sa pagkuha ng ZIP file na naglalaman ng mga pangunahing payload mula sa isang malayong server. Bukod pa rito, nire-reboot ang makina sa prosesong ito.

Ang system restart ay nagsisilbing launching point para sa banking trojan at ang spam tool, na nagbibigay-daan sa threat actor na mangolekta ng data, mag-record ng mga keystroke, mag-capture ng mga screenshot, at magpamahagi ng karagdagang phishing email sa mga contact ng biktima.

Ang banking Trojan na ginamit sa kampanya ay isang 32-bit na Windows DLL na naka-code sa Delphi programming language. Nagpapakita ito ng pagkakatulad sa iba pang pamilya ng malware sa Brazil, gaya ng Mekotio at Casbaneiro.

Sa kabilang banda, ang Horabot ay isang phishing botnet program na idinisenyo para sa Outlook. Ito ay nakasulat sa PowerShell at nagtataglay ng kakayahang magpadala ng mga phishing na email sa lahat ng email address na makikita sa mailbox ng biktima, at sa gayon ay kumalat ang impeksiyon. Ang taktika na ito ay isang sinadyang diskarte na ginagamit ng banta ng aktor upang mabawasan ang panganib na ilantad ang kanilang imprastraktura ng phishing.