Το κακόβουλο λογισμικό Horabot στοχεύει θύματα της Λατινικής Αμερικής

Από τα τέλη του 2020, άτομα που μιλούν ισπανικά στη Λατινική Αμερική έχουν αντιμετωπίσει μια νέα μορφή κακόβουλου λογισμικού γνωστό ως Horabot. Αυτό το κακόβουλο λογισμικό botnet επιτρέπει σε έναν παράγοντα απειλής να αναλάβει τον έλεγχο του γραμματοκιβωτίου του Outlook ενός θύματος, να εξάγει διευθύνσεις email από τις επαφές του και να στέλνει μηνύματα ηλεκτρονικού ψαρέματος με κακόβουλα συνημμένα HTML σε όλες τις διευθύνσεις στο γραμματοκιβώτιο του θύματος. Επιπλέον, το πρόγραμμα botnet παρέχει έναν οικονομικό trojan που βασίζεται σε Windows και ένα εργαλείο ανεπιθύμητης αλληλογραφίας, τα οποία χρησιμοποιούνται για τη συλλογή διαπιστευτηρίων ηλεκτρονικής τραπεζικής και την παραβίαση των Gmail, Outlook και Yahoo! λογαριασμούς webmail με σκοπό την αποστολή ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου.

Σύμφωνα με τον ερευνητή της Cisco Talos, Chetan Raghuprasad, η πλειονότητα των μολύνσεων έχει εντοπιστεί στο Μεξικό, με μικρότερο αριθμό θυμάτων να έχει εντοπιστεί στην Ουρουγουάη, τη Βραζιλία, τη Βενεζουέλα, την Αργεντινή, τη Γουατεμάλα και τον Παναμά. Ο παράγοντας απειλών που είναι υπεύθυνος για αυτήν την εκστρατεία πιστεύεται ότι εδρεύει στη Βραζιλία.

Η καμπάνια στοχεύει κυρίως χρήστες στους τομείς της λογιστικής, των κατασκευών και της μηχανικής, της χονδρικής διανομής και των επενδύσεων, αν και υπάρχουν υποψίες ότι ενδέχεται να επηρεαστούν και άλλοι κλάδοι της περιοχής.

Διάνυσμα επίθεσης και τρόπος λειτουργίας

Η επίθεση ξεκινά με μηνύματα ηλεκτρονικού ψαρέματος που προσελκύουν τους παραλήπτες με δέλεαρ με φορολογικό θέμα, ενθαρρύνοντάς τους να ανοίξουν ένα συνημμένο HTML. Αυτό το συνημμένο περιέχει έναν σύνδεσμο που οδηγεί σε ένα αρχείο RAR. Το άνοιγμα του αρχείου ενεργοποιεί την εκτέλεση ενός σεναρίου λήψης PowerShell, το οποίο ανακτά ένα αρχείο ZIP που περιέχει τα κύρια ωφέλιμα φορτία από έναν απομακρυσμένο διακομιστή και επανεκκινεί το μηχάνημα του θύματος.

Η επανεκκίνηση του συστήματος χρησιμεύει ως σημείο εκκίνησης για τον τραπεζικό trojan και το εργαλείο ανεπιθύμητης αλληλογραφίας, επιτρέποντας στον παράγοντα απειλής να κλέβει δεδομένα, να καταγράφει πατήματα πλήκτρων, να καταγράφει στιγμιότυπα οθόνης και να στέλνει πρόσθετα μηνύματα ηλεκτρονικού ψαρέματος στις επαφές του θύματος.

Ο Chetan Raghuprasad περιγράφει αυτήν την καμπάνια ως μια επίθεση πολλαπλών σταδίων που ξεκινά με ένα email ηλεκτρονικού ψαρέματος και προχωρά στην παράδοση ωφέλιμων φορτίων χρησιμοποιώντας ένα σενάριο λήψης PowerShell και πλευρική φόρτωση νόμιμων εκτελέσιμων αρχείων.

Ο τραπεζικός trojan, γραμμένος στη γλώσσα προγραμματισμού Delphi, είναι ένα DLL 32-bit των Windows που μοιράζεται ομοιότητες με άλλες οικογένειες της Βραζιλίας κακόβουλου λογισμικού όπως το Mekotio και το Casbaneiro.

Από την άλλη πλευρά, το Horabot είναι ένα πρόγραμμα botnet phishing που βασίζεται στο PowerShell, ειδικά σχεδιασμένο για το Outlook. Διαδίδει τη μόλυνση στέλνοντας μηνύματα ηλεκτρονικού ψαρέματος σε όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που βρίσκονται στο γραμματοκιβώτιο του θύματος και σκοπός του είναι να αποκρύψει την υποδομή phishing του παράγοντα απειλής.

Αυτή η αποκάλυψη έρχεται λίγο αφότου η SentinelOne απέδωσε μια παρατεταμένη καμπάνια που στόχευε πάνω από 30 πορτογαλικά χρηματοπιστωτικά ιδρύματα σε έναν άγνωστο Βραζιλιάνο παράγοντα απειλών που χρησιμοποιεί κακόβουλο λογισμικό κλοπής πληροφοριών από το 2021.

Επιπλέον, ανακαλύφθηκε ένας νέος τραπεζικός trojan Android που ονομάζεται PixBankBot, ο οποίος εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας του λειτουργικού συστήματος για να πραγματοποιεί δόλιες μεταφορές χρημάτων μέσω της πλατφόρμας πληρωμών PIX της Βραζιλίας. Το PixBankBot είναι το πιο πρόσφατο σε μια σειρά κακόβουλου λογισμικού που στοχεύει ειδικά τράπεζες της Βραζιλίας, εντάσσοντας τις τάξεις των BrasDex, PixPirate και GoatRAT, που έχουν παρατηρηθεί τους τελευταίους μήνες.