„Horabot“ kenkėjiška programa skirta Lotynų Amerikos aukoms
Nuo 2020 m. pabaigos ispaniškai kalbantys asmenys Lotynų Amerikoje susidūrė su naujos formos kenkėjiška programa, vadinama Horabot. Ši „botnet“ kenkėjiška programa leidžia grėsmės veikėjui perimti aukos „Outlook“ pašto dėžutės kontrolę, išgauti el. pašto adresus iš savo kontaktų ir siųsti sukčiavimo el. laiškus su kenkėjiškais HTML priedais visais aukos pašto dėžutės adresais. Be to, „botnet“ programa pateikia „Windows“ pagrindu sukurtą finansinį Trojos arklys ir šiukšlių įrankį, kurie naudojami internetinės bankininkystės kredencialams rinkti ir pakenkti „Gmail“, „Outlook“ ir „Yahoo! žiniatinklio pašto paskyras, kad būtų siunčiami el. pašto šiukšlės.
Pasak Cisco Talos tyrėjo Chetan Raghuprasad, dauguma infekcijų buvo rasta Meksikoje, o mažesnis aukų skaičius nustatytas Urugvajuje, Brazilijoje, Venesueloje, Argentinoje, Gvatemaloje ir Panamoje. Manoma, kad už šią kampaniją atsakingas grėsmės veikėjas yra Brazilijoje.
Kampanija visų pirma skirta apskaitos, statybos ir inžinerijos, didmeninio platinimo ir investicijų sektoriams, nors įtariama, kad gali būti paveiktos ir kitos regiono pramonės šakos.
Atakos vektorius ir veikimo būdas
Ataka prasideda nuo sukčiavimo el. laiškų, kurie vilioja gavėjus mokesčių tematikos masalais, skatinančiais atidaryti HTML priedą. Šiame priede yra nuoroda, vedanti į RAR archyvą. Atidarius archyvą, paleidžiamas PowerShell atsisiuntimo programos scenarijus, kuris iš nuotolinio serverio nuskaito ZIP failą, kuriame yra pagrindinės naudingos apkrovos, ir iš naujo paleidžia aukos kompiuterį.
Sistemos paleidimas iš naujo yra banko Trojos arklys ir šiukšlių įrankio paleidimo taškas, leidžiantis grėsmės veikėjui pavogti duomenis, įrašyti klavišų paspaudimus, užfiksuoti ekrano kopijas ir siųsti papildomus sukčiavimo el. laiškus aukos kontaktams.
Chetan Raghuprasad apibūdina šią kampaniją kaip daugiapakopę ataką, kuri prasideda nuo sukčiavimo el. laiškų ir toliau pristato naudingus krovinius naudojant PowerShell atsisiuntimo programos scenarijų ir įkeliant teisėtus vykdomuosius failus.
Bankininkystės Trojos arklys, parašytas Delphi programavimo kalba, yra 32 bitų Windows DLL, turintis panašumų su kitomis Brazilijos kenkėjiškų programų šeimomis, tokiomis kaip Mekotio ir Casbaneiro.
Kita vertus, „Horabot“ yra „PowerShell“ pagrindu sukurta sukčiavimo robotų tinklo programa, specialiai sukurta „Outlook“. Jis platina infekciją siųsdamas sukčiavimo el. laiškus visais aukos pašto dėžutėje esančiais el. pašto adresais, o jos tikslas – nuslėpti grėsmės veikėjo sukčiavimo infrastruktūrą.
Šis atskleidimas buvo paskelbtas netrukus po to, kai „SentinelOne“ užsitęsusią kampaniją, nukreiptą į daugiau nei 30 Portugalijos finansų institucijų, priskyrė nežinomam Brazilijos grėsmės veikėjui, naudojančiam informaciją vagiančią kenkėjišką programą nuo 2021 m.
Be to, buvo aptiktas naujas Android bankininkystės Trojos arklys, vadinamas PixBankBot, kuris išnaudoja operacinės sistemos prieinamumo paslaugas, kad atliktų apgaulingus pinigų pervedimus per Brazilijos PIX mokėjimų platformą. „PixBankBot“ yra naujausia kenkėjiškų programų serija, specialiai skirta Brazilijos bankams, kuri prisijungia prie „BrasDex“, „PixPirate“ ir „GoatRAT“ gretų, kurios buvo pastebėtos pastaraisiais mėnesiais.