Horabot マルウェア、中南米の被害者を狙う

2020 年後半以来、ラテンアメリカのスペイン語を話す人々は、Horabot として知られる新しい形式のマルウェアに直面しています。このボットネット マルウェアにより、攻撃者は被害者の Outlook メールボックスを制御し、連絡先から電子メール アドレスを抽出し、悪意のある HTML 添付ファイルを含むフィッシングメールを被害者のメールボックス内のすべてのアドレスに送信することができます。さらに、ボットネット プログラムは Windows ベースの金融トロイの木馬とスパム ツールを配布し、これらはオンライン バンキングの認証情報を収集し、Gmail、Outlook、Yahoo! を侵害するために使用されます。スパムメールの送信を目的とした Web メール アカウント。

Cisco Talos の研究者 Chetan Raghuprasad 氏によると、感染の大部分はメキシコで確認されており、ウルグアイ、ブラジル、ベネズエラ、アルゼンチン、グアテマラ、パナマでは少数の被害者が確認されています。このキャンペーンを実行した攻撃者はブラジルに拠点を置いていると考えられています。

このキャンペーンは主に会計、建設・エンジニアリング、卸売流通、投資部門のユーザーをターゲットにしているが、この地域の他の業界も影響を受ける可能性があると考えられている。

攻撃ベクトルと動作モード

この攻撃は、税をテーマにしたおとりで受信者を誘惑し、HTML 添付ファイルを開くよう促すフィッシングメールから始まります。この添付ファイルには、RAR アーカイブへのリンクが含まれています。アーカイブを開くと、PowerShell ダウンローダー スクリプトの実行がトリガーされ、メイン ペイロードを含む ZIP ファイルがリモート サーバーから取得され、被害者のマシンが再起動されます。

システムの再起動は、バンキング型トロイの木馬とスパム ツールの起動ポイントとして機能し、攻撃者がデータを盗み、キーストロークを記録し、スクリーンショットをキャプチャし、被害者の連絡先に追加のフィッシングメールを送信できるようにします。

Chetan Raghuprasad 氏は、このキャンペーンを、フィッシングメールから始まり、PowerShell ダウンローダー スクリプトを使用してペイロードを配信し、正規の実行可能ファイルをサイドローディングする多段階攻撃であると説明しています。

このバンキング型トロイの木馬は、Delphi プログラミング言語で書かれた 32 ビット Windows DLL で、Mekotio や Casbaneiro などの他のブラジルのマルウェア ファミリと類似点があります。

一方、Horabot は、Outlook 用に特別に設計された PowerShell ベースのフィッシング ボットネット プログラムです。被害者のメールボックスにあるすべての電子メール アドレスにフィッシング電子メールを送信することで感染を拡大します。その目的は、脅威アクターのフィッシング インフラストラクチャを隠蔽することです。

この情報開示は、SentinelOne が、2021 年以降、情報窃取マルウェアを使用したブラジルの未知の攻撃者による、30 を超えるポルトガルの金融機関を対象とした長期にわたるキャンペーンの原因であると認定した直後に行われました。

さらに、PixBankBot と呼ばれる新しい Android バンキング トロイの木馬が発見されました。このトロイの木馬は、オペレーティング システムのアクセシビリティ サービスを悪用し、ブラジルの PIX 決済プラットフォーム経由で不正送金を実行します。 PixBankBot は、特にブラジルの銀行をターゲットにした一連のマルウェアの最新のもので、ここ数カ月観察されている BrasDex、PixPirate、GoatRAT に加わりました。