Вредоносное ПО Horabot нацелено на жертв из Латинской Америки

С конца 2020 года испаноязычные жители Латинской Америки столкнулись с новой формой вредоносного ПО, известным как Horabot. Этот вредоносный ботнет позволяет злоумышленнику получить контроль над почтовым ящиком Outlook жертвы, извлечь адреса электронной почты из их контактов и отправить фишинговые электронные письма с вредоносными вложениями HTML на все адреса в почтовом ящике жертвы. Кроме того, программа ботнета предоставляет финансового трояна для Windows и спам-инструмент, которые используются для сбора учетных данных для онлайн-банкинга и компрометации Gmail, Outlook и Yahoo! учетные записи веб-почты с целью рассылки спама.

По словам исследователя Cisco Talos Четана Рагхупрасада, большинство инфекций было обнаружено в Мексике, меньшее число жертв выявлено в Уругвае, Бразилии, Венесуэле, Аргентине, Гватемале и Панаме. Считается, что злоумышленник, ответственный за эту кампанию, базируется в Бразилии.

Кампания в первую очередь нацелена на пользователей в бухгалтерском учете, строительстве и машиностроении, оптовой торговле и инвестиционном секторе, хотя есть подозрения, что другие отрасли в регионе также могут быть затронуты.

Вектор атаки и режим работы

Атака начинается с фишинговых писем, которые заманивают получателей приманками на налоговую тематику, побуждая их открыть HTML-вложение. Это вложение содержит ссылку на архив RAR. Открытие архива запускает сценарий загрузчика PowerShell, который извлекает ZIP-файл, содержащий основные полезные данные, с удаленного сервера и перезагружает компьютер жертвы.

Перезапуск системы служит отправной точкой для банковского трояна и спам-инструмента, позволяя злоумышленнику красть данные, записывать нажатия клавиш, делать скриншоты и отправлять дополнительные фишинговые электронные письма контактам жертвы.

Четан Рагхупрасад описывает эту кампанию как многоэтапную атаку, которая начинается с фишингового электронного письма и продолжается доставкой полезной нагрузки с использованием скрипта загрузчика PowerShell и загрузки законных исполняемых файлов.

Банковский троян, написанный на языке программирования Delphi, представляет собой 32-разрядную DLL для Windows, которая имеет сходство с другими бразильскими семействами вредоносных программ, такими как Mekotio и Casbaneiro.

С другой стороны, Horabot — это программа фишингового ботнета на основе PowerShell, специально разработанная для Outlook. Он распространяет заражение, отправляя фишинговые электронные письма на все адреса электронной почты, найденные в почтовом ящике жертвы, и его цель — скрыть фишинговую инфраструктуру злоумышленника.

Это раскрытие произошло вскоре после того, как SentinelOne приписала длительную кампанию, нацеленную на более чем 30 португальских финансовых учреждений, неизвестному бразильскому злоумышленнику, использующему вредоносное ПО для кражи информации с 2021 года.

Кроме того, был обнаружен новый банковский троян Android под названием PixBankBot, который использует службы доступности операционной системы для осуществления мошеннических денежных переводов через бразильскую платежную платформу PIX. PixBankBot является последним из серии вредоносных программ, специально предназначенных для бразильских банков, пополнивших ряды BrasDex, PixPirate и GoatRAT, которые наблюдались в последние месяцы.