Phần mềm độc hại Horabot
Người dùng nói tiếng Tây Ban Nha ở Mỹ Latinh đã bị nhắm mục tiêu bởi một phần mềm độc hại botnet mới được phát hiện có tên là Horabot. Chiến dịch tấn công được cho là đã hoạt động ít nhất là từ tháng 11 năm 2020. Chương trình đe dọa cấp cho những kẻ đe dọa khả năng thao túng hộp thư Outlook của nạn nhân, trích xuất địa chỉ email từ danh bạ của họ và gửi email lừa đảo có chứa tệp đính kèm HTML bị hỏng tới tất cả các địa chỉ trong đó hộp thư bị xâm nhập.
Ngoài các khả năng này, Phần mềm độc hại Horabot còn triển khai một Trojan tài chính dựa trên Windows và một công cụ spam. Các thành phần này được thiết kế để thu thập thông tin đăng nhập ngân hàng trực tuyến nhạy cảm và xâm phạm các dịch vụ webmail phổ biến như Gmail, Outlook và Yahoo! Với quyền truy cập vào các tài khoản bị xâm nhập này, những kẻ điều hành phần mềm độc hại có thể giải phóng một loạt email spam tới nhiều người nhận.
Tội phạm mạng nhắm mục tiêu vào một số ngành công nghiệp khác nhau bằng phần mềm độc hại Horabot
Theo một công ty an ninh mạng, một số lượng đáng kể các vụ lây nhiễm liên quan đến chiến dịch Horabot đã được phát hiện ở Mexico. Đồng thời, có ít nạn nhân được xác định danh tính hơn ở các quốc gia như Uruguay, Brazil, Venezuela, Argentina, Guatemala và Panama. Tác nhân đe dọa chịu trách nhiệm cho chiến dịch được cho là có trụ sở tại Brazil.
Chiến dịch đang diễn ra nhắm mục tiêu người dùng chủ yếu tham gia vào lĩnh vực kế toán, xây dựng và kỹ thuật, phân phối bán buôn và đầu tư. Tuy nhiên, người ta nghi ngờ rằng các ngành công nghiệp khác trong khu vực cũng có thể bị ảnh hưởng bởi mối đe dọa này.
Phần mềm độc hại Horabot được phân phối thông qua Chuỗi tấn công nhiều giai đoạn
Chiến dịch tấn công bắt đầu bằng các email lừa đảo sử dụng các chủ đề liên quan đến thuế để dụ người nhận mở tệp đính kèm HTML. Trong tệp đính kèm này, một liên kết được nhúng, dẫn đến kho lưu trữ RAR.
Khi mở tệp, tập lệnh trình tải xuống PowerShell được thực thi, tập lệnh này chịu trách nhiệm truy xuất tệp ZIP chứa các tải trọng chính từ máy chủ từ xa. Ngoài ra, máy được khởi động lại trong quá trình này.
Việc khởi động lại hệ thống đóng vai trò là điểm khởi đầu cho trojan ngân hàng và công cụ thư rác, cho phép tác nhân đe dọa thu thập dữ liệu, ghi lại các lần gõ phím, chụp ảnh màn hình và phân phối thêm các email lừa đảo tới các địa chỉ liên hệ của nạn nhân.
Trojan ngân hàng được sử dụng trong chiến dịch là một Windows DLL 32-bit được mã hóa bằng ngôn ngữ lập trình Delphi. Nó thể hiện sự tương đồng với các họ phần mềm độc hại khác của Brazil, chẳng hạn như Mekotio và Casbaneiro.
Mặt khác, Horabot là một chương trình botnet lừa đảo được thiết kế cho Outlook. Nó được viết bằng PowerShell và sở hữu khả năng gửi email lừa đảo đến tất cả các địa chỉ email được tìm thấy trong hộp thư của nạn nhân, do đó lây lan sự lây nhiễm. Chiến thuật này là một chiến lược có chủ ý được kẻ đe dọa sử dụng để giảm nguy cơ lộ cơ sở hạ tầng lừa đảo của chúng.
