Шкідливе програмне забезпечення Horabot

Іспаномовні користувачі в Латинській Америці стали мішенню нещодавно виявленого шкідливого програмного забезпечення ботнету під назвою Horabot. Вважається, що кампанія атаки була активна принаймні з листопада 2020 року. Програма-загроза надає зловмисникам можливість маніпулювати поштовою скринькою Outlook жертви, отримувати адреси електронної пошти з їхніх контактів і надсилати фішингові електронні листи з пошкодженими вкладеннями HTML на всі адреси в межах скомпрометована поштова скринька.

На додаток до цих можливостей, зловмисне програмне забезпечення Horabot розгортає фінансовий троян Windows і інструмент спаму. Ці компоненти призначені для збору конфіденційних облікових даних онлайн-банкінгу та компрометації популярних служб веб-пошти, таких як Gmail, Outlook і Yahoo! Маючи доступ до цих скомпрометованих облікових записів, оператори зловмисного програмного забезпечення можуть випустити потоки спаму широкому колу одержувачів.

Зловмисне програмне забезпечення Horabot націлює кіберзлочинців на кілька різних галузей

За даними фірми з кібербезпеки, у Мексиці було виявлено значну кількість заражень, пов’язаних із кампанією Horabot. Водночас стало менше ідентифікованих жертв у таких країнах, як Уругвай, Бразилія, Венесуела, Аргентина, Гватемала та Панама. Вважається, що зловмисник, відповідальний за цю кампанію, перебуває в Бразилії.

Поточна кампанія націлена на користувачів, які в основному працюють у сферах бухгалтерського обліку, будівництва та проектування, оптової торгівлі та інвестицій. Однак є підозри, що інші галузі промисловості в регіоні також можуть постраждати від цієї загрози.

Зловмисне програмне забезпечення Horabot доставляється через багатоетапну ланцюжок атак

Кампанія атаки починається з фішингових електронних листів, які використовують теми, пов’язані з податками, щоб спонукати одержувачів відкрити вкладення HTML. У цьому вкладенні вбудовано посилання, яке веде до архіву RAR.

Після відкриття файлу виконується сценарій завантажувача PowerShell, який відповідає за отримання ZIP-файлу з основними корисними навантаженнями з віддаленого сервера. Крім того, під час цього процесу машина перезавантажується.

Перезапуск системи служить точкою запуску для банківського трояна та спам-інструмента, що дозволяє зловмиснику збирати дані, записувати натискання клавіш, робити знімки екрана та розсилати подальші фішингові електронні листи контактам жертви.

Банківський троян, який використовується в кампанії, є 32-бітною DLL Windows, закодованою мовою програмування Delphi. Він демонструє схожість з іншими бразильськими сімействами шкідливих програм, такими як Mekotio та Casbaneiro.

З іншого боку, Horabot — це фішингова програма ботнету, розроблена для Outlook. Він написаний на PowerShell і має можливість надсилати фішингові електронні листи на всі адреси електронної пошти, знайдені в поштовій скриньці жертви, тим самим поширюючи інфекцію. Ця тактика є навмисною стратегією, яку використовує загроза, щоб зменшити ризик викриття своєї фішингової інфраструктури.