Horabot Malware retter sig mod latinamerikanske ofre

Siden slutningen af 2020 har spansktalende personer i Latinamerika stået over for en ny form for malware kendt som Horabot. Denne botnet-malware giver en trusselaktør mulighed for at tage kontrol over et offers Outlook-postkasse, udtrække e-mail-adresser fra deres kontakter og sende phishing-e-mails med ondsindede HTML-vedhæftninger til alle adresser i offerets postkasse. Derudover leverer botnet-programmet en Windows-baseret finanstrojan og et spamværktøj, som bruges til at indsamle netbankoplysninger og kompromittere Gmail, Outlook og Yahoo! webmail-konti med det formål at udsende spam-e-mails.

Ifølge Cisco Talos-forsker Chetan Raghuprasad er størstedelen af infektionerne fundet i Mexico, med et mindre antal ofre identificeret i Uruguay, Brasilien, Venezuela, Argentina, Guatemala og Panama. Trusselsaktøren, der er ansvarlig for denne kampagne, menes at være baseret i Brasilien.

Kampagnen retter sig primært mod brugere inden for regnskabs-, bygge- og ingeniørvirksomhed, engrosdistribution og investeringssektorer, selvom det er mistanke om, at andre industrier i regionen også kan blive påvirket.

Angrebsvektor og funktionsmåde

Angrebet begynder med phishing-e-mails, der lokker modtagere med skatte-tema lokker, der opmuntrer dem til at åbne en HTML-vedhæftet fil. Denne vedhæftede fil indeholder et link, der fører til et RAR-arkiv. Åbning af arkivet udløser udførelsen af et PowerShell-downloader-script, som henter en ZIP-fil, der indeholder de vigtigste nyttelaster, fra en ekstern server og genstarter ofrets maskine.

Systemgenstarten fungerer som et startpunkt for banktrojaneren og spamværktøjet, der gør det muligt for trusselsaktøren at stjæle data, optage tastetryk, fange skærmbilleder og sende yderligere phishing-e-mails til ofrets kontakter.

Chetan Raghuprasad beskriver denne kampagne som et flertrinsangreb, der starter med en phishing-e-mail og fortsætter med at levere nyttelast ved hjælp af et PowerShell-downloader-script og sideindlæsning af legitime eksekverbare filer.

Banktrojanen, skrevet i programmeringssproget Delphi, er en 32-bit Windows DLL, der deler ligheder med andre brasilianske malware-familier som Mekotio og Casbaneiro.

På den anden side er Horabot et PowerShell-baseret phishing-botnet-program specielt designet til Outlook. Den udbreder infektionen ved at sende phishing-e-mails til alle e-mailadresser, der findes i ofrets postkasse, og dens formål er at skjule trusselsaktørens phishing-infrastruktur.

Denne afsløring kommer kort efter, at SentinelOne tilskrev en langvarig kampagne målrettet over 30 portugisiske finansielle institutioner til en ukendt brasiliansk trusselsaktør, der brugte informationstjælende malware siden 2021.

Derudover er en ny Android-banktrojan ved navn PixBankBot blevet opdaget, som udnytter styresystemets tilgængelighedstjenester til at udføre svigagtige pengeoverførsler via den brasilianske PIX-betalingsplatform. PixBankBot er den seneste i rækken af malware, der specifikt er rettet mod brasilianske banker, og slutter sig til rækken af BrasDex, PixPirate og GoatRAT, som er blevet observeret i de seneste måneder.

June 5, 2023
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.