A Horabot malware latin-amerikai áldozatokat céloz meg

2020 vége óta a spanyol ajkú egyének Latin-Amerikában szembesülnek a rosszindulatú programok új formájával, a Horabot néven. Ez a botnet rosszindulatú program lehetővé teszi a fenyegetőzők számára, hogy átvegyék az irányítást az áldozat Outlook-postafiókja felett, e-mail-címeket vonjanak ki a névjegyeikből, és adathalász e-maileket küldjenek rosszindulatú HTML-mellékletekkel az áldozat postafiókjában található összes címre. Ezenkívül a botnet program egy Windows-alapú pénzügyi trójai programot és egy spameszközt biztosít, amelyek segítségével online banki hitelesítési adatokat gyűjtenek, és veszélyeztetik a Gmail, az Outlook és a Yahoo! webmail fiókok spam e-mailek küldésére.

A Cisco Talos kutatója, Chetan Raghuprasad szerint a fertőzések többségét Mexikóban találták meg, kevesebb áldozatot azonosítottak Uruguayban, Brazíliában, Venezuelában, Argentínában, Guatemalában és Panamában. A kampányért felelős fenyegetés szereplője feltételezések szerint Brazíliában tartózkodik.

A kampány elsősorban a számviteli, építőipari és mérnöki, nagykereskedelmi és befektetési szektor felhasználóit célozza meg, bár gyaníthatóan a régió más iparágai is érintettek lehetnek.

Támadás vektor és működési mód

A támadás adathalász e-mailekkel kezdődik, amelyek adózási témájú csalikkal csábítják a címzetteket, és arra ösztönzik őket, hogy nyissanak meg egy HTML-mellékletet. Ez a melléklet tartalmaz egy hivatkozást, amely egy RAR archívumhoz vezet. Az archívum megnyitása egy PowerShell letöltő szkript végrehajtását indítja el, amely lekéri a fő hasznos adatokat tartalmazó ZIP-fájlt egy távoli kiszolgálóról, és újraindítja az áldozat gépét.

A rendszer újraindítása indítópontként szolgál a banki trójai és a spam eszköz számára, lehetővé téve a fenyegetés szereplői számára, hogy adatokat lopjanak, rögzítsenek billentyűleütéseket, képernyőképeket készítsenek, és további adathalász e-maileket küldjenek az áldozat kapcsolattartóinak.

Chetan Raghuprasad ezt a kampányt többlépcsős támadásként írja le, amely egy adathalász e-maillel kezdődik, és egy PowerShell letöltő szkript segítségével szállítja a hasznos terheket, és oldalra tölti a legitim végrehajtható fájlokat.

A Delphi programozási nyelven írt banki trójai egy 32 bites Windows DLL, amely hasonlóságot mutat más brazil malware családokkal, mint például a Mekotio és a Casbaneiro.

Másrészt a Horabot egy PowerShell-alapú adathalász botnet program, amelyet kifejezetten az Outlookhoz terveztek. A fertőzést úgy terjeszti, hogy az áldozat postafiókjában található összes e-mail címre adathalász e-maileket küld, célja pedig az, hogy elrejtse a fenyegetett szereplő adathalász infrastruktúráját.

Ez a nyilvánosságra hozatal nem sokkal azután történt, hogy a SentinelOne egy több mint 30 portugál pénzintézetet megcélzó, hosszan tartó kampányt tulajdonított egy ismeretlen brazil fenyegetésnek, amely 2021 óta információlopó rosszindulatú programokat használ.

Emellett felfedezték a PixBankBot nevű új Android banki trójai programot, amely az operációs rendszer kisegítő szolgáltatásait kihasználva csalárd pénzátutalásokat hajt végre a brazil PIX fizetési platformon keresztül. A PixBankBot a legújabb a brazil bankokat célzó rosszindulatú programok sorozatában, amely csatlakozik a BrasDex, a PixPirate és a GoatRAT soraihoz, amelyeket az elmúlt hónapokban figyeltek meg.

June 5, 2023
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.