Horabot Kötü Amaçlı Yazılım

Latin Amerika'daki İspanyolca konuşan kullanıcılar, Horabot olarak bilinen yeni keşfedilen bir kötü amaçlı botnet tarafından hedef alındı. Saldırı kampanyasının en az Kasım 2020'den beri aktif olduğuna inanılıyor. Tehdit edici program, tehdit aktörlerine kurbanın Outlook posta kutusunu manipüle etme, kişilerinden e-posta adreslerini çıkarma ve içindeki tüm adreslere bozuk HTML ekleri içeren kimlik avı e-postaları gönderme yeteneği veriyor. güvenliği ihlal edilmiş posta kutusu.

Horabot Kötü Amaçlı Yazılımı, bu yeteneklere ek olarak, Windows tabanlı bir finansal Truva Atı ve bir spam aracı dağıtır. Bu bileşenler, hassas çevrimiçi bankacılık kimlik bilgilerini toplamak ve Gmail, Outlook ve Yahoo! Bu tehlikeye atılmış hesaplara erişimle, kötü amaçlı yazılım operatörleri çok çeşitli alıcılara bir spam e-posta selini serbest bırakabilir.

Siber suçlular, Horabot Kötü Amaçlı Yazılımıyla Birkaç Farklı Sektörü Hedefliyor

Bir siber güvenlik firmasına göre, Meksika'da Horabot kampanyasıyla ilgili önemli sayıda enfeksiyon tespit edildi. Aynı zamanda Uruguay, Brezilya, Venezuela, Arjantin, Guatemala ve Panama gibi ülkelerde tespit edilen kurban sayısı daha az oldu. Kampanyadan sorumlu tehdit aktörünün Brezilya merkezli olduğuna inanılıyor.

Devam eden kampanya, öncelikle muhasebe, inşaat ve mühendislik, toptan dağıtım ve yatırım sektörlerinde yer alan kullanıcıları hedefliyor. Ancak bölgedeki diğer sektörlerin de bu tehditten etkilenebileceğinden şüpheleniliyor.

Horabot Kötü Amaçlı Yazılımı, Çok Aşamalı Bir Saldırı Zinciri Yoluyla Dağıtılır

Saldırı kampanyası, alıcıları bir HTML ekini açmaya ikna etmek için vergiyle ilgili temalar kullanan kimlik avı e-postalarıyla başlar. Bu ekte, bir RAR arşivine götüren bir bağlantı yerleştirilmiştir.

Dosyayı açtıktan sonra, uzak bir sunucudan birincil yükleri içeren bir ZIP dosyasının alınmasından sorumlu olan bir PowerShell indirici betiği yürütülür. Ek olarak, makine bu işlem sırasında yeniden başlatılır.

Sistemin yeniden başlatılması, bankacılık truva atı ve spam aracı için bir başlangıç noktası görevi görerek tehdit aktörünün veri toplamasına, tuş vuruşlarını kaydetmesine, ekran görüntüleri yakalamasına ve kurbanın kişilerine daha fazla kimlik avı e-postası dağıtmasına olanak tanır.

Kampanyada kullanılan bankacılık Truva Atı, Delphi programlama dilinde kodlanmış 32 bit Windows DLL'dir. Mekotio ve Casbaneiro gibi diğer Brezilya kötü amaçlı yazılım aileleriyle benzerlikler gösterir.

Öte yandan Horabot, Outlook için tasarlanmış bir kimlik avı botnet programıdır. PowerShell'de yazılmıştır ve kurbanın posta kutusunda bulunan tüm e-posta adreslerine kimlik avı e-postaları göndererek enfeksiyonu yayma yeteneğine sahiptir. Bu taktik, tehdit aktörü tarafından kimlik avı altyapısını açığa çıkarma riskini azaltmak için kullanılan kasıtlı bir stratejidir.