Horabot 恶意软件针对拉丁美洲受害者
自 2020 年底以来,拉丁美洲讲西班牙语的人面临着一种名为 Horabot 的新型恶意软件。这种僵尸网络恶意软件允许威胁行为者控制受害者的 Outlook 邮箱,从他们的联系人中提取电子邮件地址,并将带有恶意 HTML 附件的网络钓鱼电子邮件发送到受害者邮箱中的所有地址。此外,僵尸网络程序还提供基于 Windows 的金融木马和垃圾邮件工具,用于收集网上银行凭据并危害 Gmail、Outlook 和 Yahoo!用于发送垃圾邮件的网络邮件帐户。
根据 Cisco Talos 研究员 Chetan Raghuprasad 的说法,大多数感染发生在墨西哥,在乌拉圭、巴西、委内瑞拉、阿根廷、危地马拉和巴拿马发现了少量受害者。据信,负责此次活动的威胁演员位于巴西。
该活动主要针对会计、建筑和工程、批发分销和投资部门的用户,尽管怀疑该地区的其他行业也可能受到影响。
攻击向量和操作模式
攻击始于网络钓鱼电子邮件,这些电子邮件以税收为主题的诱饵引诱收件人,鼓励他们打开 HTML 附件。此附件包含指向 RAR 存档的链接。打开存档会触发 PowerShell 下载脚本的执行,该脚本从远程服务器检索包含主要有效负载的 ZIP 文件并重新启动受害者的机器。
系统重启是银行木马和垃圾邮件工具的启动点,使威胁行为者能够窃取数据、记录击键、捕获屏幕截图,并向受害者的联系人发送额外的网络钓鱼电子邮件。
Chetan Raghuprasad 将此活动描述为多阶段攻击,从网络钓鱼电子邮件开始,然后使用 PowerShell 下载程序脚本和旁加载合法可执行文件继续传递有效负载。
该银行木马使用 Delphi 编程语言编写,是一个 32 位 Windows DLL,与 Mekotio 和 Casbaneiro 等其他巴西恶意软件家族有相似之处。
另一方面,Horabot 是一款基于 PowerShell 的钓鱼僵尸网络程序,专为 Outlook 而设计。它通过向受害者邮箱中找到的所有电子邮件地址发送网络钓鱼电子邮件来传播感染,其目的是隐藏威胁行为者的网络钓鱼基础设施。
自 2021 年以来,SentinelOne 将针对 30 多家葡萄牙金融机构的长期活动归因于使用信息窃取恶意软件的未知巴西威胁行为者后不久,便披露了这一信息。
此外,还发现了一种名为 PixBankBot 的新型 Android 银行木马,它利用操作系统的可访问性服务通过巴西 PIX 支付平台进行欺诈性汇款。 PixBankBot 是一系列专门针对巴西银行的恶意软件中的最新一款,加入了最近几个月发现的 BrasDex、PixPirate 和 GoatRAT 的行列。