A Horabot malware latin-amerikai áldozatokat céloz meg
2020 vége óta a spanyol ajkú egyének Latin-Amerikában szembesülnek a rosszindulatú programok új formájával, a Horabot néven. Ez a botnet rosszindulatú program lehetővé teszi a fenyegetőzők számára, hogy átvegyék az irányítást az áldozat Outlook-postafiókja felett, e-mail-címeket vonjanak ki a névjegyeikből, és adathalász e-maileket küldjenek rosszindulatú HTML-mellékletekkel az áldozat postafiókjában található összes címre. Ezenkívül a botnet program egy Windows-alapú pénzügyi trójai programot és egy spameszközt biztosít, amelyek segítségével online banki hitelesítési adatokat gyűjtenek, és veszélyeztetik a Gmail, az Outlook és a Yahoo! webmail fiókok spam e-mailek küldésére.
A Cisco Talos kutatója, Chetan Raghuprasad szerint a fertőzések többségét Mexikóban találták meg, kevesebb áldozatot azonosítottak Uruguayban, Brazíliában, Venezuelában, Argentínában, Guatemalában és Panamában. A kampányért felelős fenyegetés szereplője feltételezések szerint Brazíliában tartózkodik.
A kampány elsősorban a számviteli, építőipari és mérnöki, nagykereskedelmi és befektetési szektor felhasználóit célozza meg, bár gyaníthatóan a régió más iparágai is érintettek lehetnek.
Támadás vektor és működési mód
A támadás adathalász e-mailekkel kezdődik, amelyek adózási témájú csalikkal csábítják a címzetteket, és arra ösztönzik őket, hogy nyissanak meg egy HTML-mellékletet. Ez a melléklet tartalmaz egy hivatkozást, amely egy RAR archívumhoz vezet. Az archívum megnyitása egy PowerShell letöltő szkript végrehajtását indítja el, amely lekéri a fő hasznos adatokat tartalmazó ZIP-fájlt egy távoli kiszolgálóról, és újraindítja az áldozat gépét.
A rendszer újraindítása indítópontként szolgál a banki trójai és a spam eszköz számára, lehetővé téve a fenyegetés szereplői számára, hogy adatokat lopjanak, rögzítsenek billentyűleütéseket, képernyőképeket készítsenek, és további adathalász e-maileket küldjenek az áldozat kapcsolattartóinak.
Chetan Raghuprasad ezt a kampányt többlépcsős támadásként írja le, amely egy adathalász e-maillel kezdődik, és egy PowerShell letöltő szkript segítségével szállítja a hasznos terheket, és oldalra tölti a legitim végrehajtható fájlokat.
A Delphi programozási nyelven írt banki trójai egy 32 bites Windows DLL, amely hasonlóságot mutat más brazil malware családokkal, mint például a Mekotio és a Casbaneiro.
Másrészt a Horabot egy PowerShell-alapú adathalász botnet program, amelyet kifejezetten az Outlookhoz terveztek. A fertőzést úgy terjeszti, hogy az áldozat postafiókjában található összes e-mail címre adathalász e-maileket küld, célja pedig az, hogy elrejtse a fenyegetett szereplő adathalász infrastruktúráját.
Ez a nyilvánosságra hozatal nem sokkal azután történt, hogy a SentinelOne egy több mint 30 portugál pénzintézetet megcélzó, hosszan tartó kampányt tulajdonított egy ismeretlen brazil fenyegetésnek, amely 2021 óta információlopó rosszindulatú programokat használ.
Emellett felfedezték a PixBankBot nevű új Android banki trójai programot, amely az operációs rendszer kisegítő szolgáltatásait kihasználva csalárd pénzátutalásokat hajt végre a brazil PIX fizetési platformon keresztül. A PixBankBot a legújabb a brazil bankokat célzó rosszindulatú programok sorozatában, amely csatlakozik a BrasDex, a PixPirate és a GoatRAT soraihoz, amelyeket az elmúlt hónapokban figyeltek meg.