Złośliwe oprogramowanie Horabot atakuje ofiary z Ameryki Łacińskiej

Od końca 2020 roku hiszpańskojęzyczne osoby w Ameryce Łacińskiej miały do czynienia z nową formą złośliwego oprogramowania znaną jako Horabot. To szkodliwe oprogramowanie typu botnet umożliwia cyberprzestępcom przejęcie kontroli nad skrzynką pocztową ofiary programu Outlook, wyodrębnienie adresów e-mail z jej kontaktów i wysyłanie wiadomości phishingowych ze szkodliwymi załącznikami HTML na wszystkie adresy w skrzynce pocztowej ofiary. Ponadto program botnet dostarcza trojana finansowego opartego na systemie Windows i narzędzie do spamu, które są wykorzystywane do zbierania danych uwierzytelniających bankowość internetową i narażania Gmaila, Outlooka i Yahoo! kont webmail w celu rozsyłania spamu.

Według badacza Cisco Talos, Chetana Raghuprasada, większość infekcji wykryto w Meksyku, a mniejszą liczbę ofiar zidentyfikowano w Urugwaju, Brazylii, Wenezueli, Argentynie, Gwatemali i Panamie. Uważa się, że cyberprzestępca odpowiedzialny za tę kampanię ma swoją siedzibę w Brazylii.

Kampania jest skierowana przede wszystkim do użytkowników z sektorów księgowości, budownictwa i inżynierii, dystrybucji hurtowej i inwestycji, chociaż podejrzewa się, że może to mieć wpływ na inne branże w regionie.

Wektor ataku i tryb działania

Atak rozpoczyna się od e-maili phishingowych, które kuszą odbiorców przynętami o tematyce podatkowej, zachęcając ich do otwarcia załącznika HTML. Ten załącznik zawiera łącze prowadzące do archiwum RAR. Otwarcie archiwum uruchamia skrypt downloadera PowerShell, który pobiera plik ZIP zawierający główne ładunki ze zdalnego serwera i restartuje maszynę ofiary.

Ponowne uruchomienie systemu służy jako punkt startowy dla trojana bankowego i narzędzia spamowego, umożliwiając cyberprzestępcy kradzież danych, rejestrowanie naciśnięć klawiszy, przechwytywanie zrzutów ekranu i wysyłanie dodatkowych e-maili phishingowych do kontaktów ofiary.

Chetan Raghuprasad opisuje tę kampanię jako wieloetapowy atak, który zaczyna się od wiadomości e-mail typu phishing, a następnie dostarcza ładunki za pomocą skryptu pobierania programu PowerShell i sideloading legalnych plików wykonywalnych.

Trojan bankowy, napisany w języku programowania Delphi, to 32-bitowa biblioteka DLL dla systemu Windows, która wykazuje podobieństwa z innymi brazylijskimi rodzinami złośliwego oprogramowania, takimi jak Mekotio i Casbaneiro.

Z drugiej strony Horabot to oparty na PowerShell program botnetu phishingowego zaprojektowany specjalnie dla programu Outlook. Rozprzestrzenia infekcję, wysyłając e-maile phishingowe na wszystkie adresy e-mail znalezione w skrzynce pocztowej ofiary, a jego celem jest ukrycie infrastruktury phishingowej cyberprzestępcy.

Ujawnienie to nastąpiło wkrótce po tym, jak SentinelOne przypisał długotrwałą kampanię wymierzoną w ponad 30 portugalskich instytucji finansowych nieznanemu brazylijskiemu ugrupowaniu cyberprzestępczemu, które od 2021 r. używało złośliwego oprogramowania do kradzieży informacji.

Ponadto wykryto nowego trojana bankowego dla systemu Android o nazwie PixBankBot, który wykorzystuje usługi ułatwień dostępu systemu operacyjnego do przeprowadzania oszukańczych przelewów pieniężnych za pośrednictwem brazylijskiej platformy płatniczej PIX. PixBankBot jest najnowszym z serii złośliwego oprogramowania atakującego brazylijskie banki, dołączając do obserwowanych w ostatnich miesiącach BrasDex, PixPirate i GoatRAT.