Horabot 惡意軟件針對拉丁美洲受害者
自 2020 年底以來,拉丁美洲講西班牙語的人面臨著一種名為 Horabot 的新型惡意軟件。這種殭屍網絡惡意軟件允許威脅行為者控制受害者的 Outlook 郵箱,從他們的聯繫人中提取電子郵件地址,並將帶有惡意 HTML 附件的網絡釣魚電子郵件發送到受害者郵箱中的所有地址。此外,殭屍網絡程序還提供基於 Windows 的金融木馬和垃圾郵件工具,用於收集網上銀行憑據並危害 Gmail、Outlook 和 Yahoo!用於發送垃圾郵件的網絡郵件帳戶。
根據 Cisco Talos 研究員 Chetan Raghuprasad 的說法,大多數感染髮生在墨西哥,在烏拉圭、巴西、委內瑞拉、阿根廷、危地馬拉和巴拿馬發現了少量受害者。據信,負責此次活動的威脅演員位於巴西。
該活動主要針對會計、建築和工程、批發分銷和投資部門的用戶,儘管懷疑該地區的其他行業也可能受到影響。
攻擊向量和操作模式
攻擊始於網絡釣魚電子郵件,這些電子郵件以稅收為主題的誘餌引誘收件人,鼓勵他們打開 HTML 附件。此附件包含指向 RAR 存檔的鏈接。打開存檔會觸發 PowerShell 下載腳本的執行,該腳本從遠程服務器檢索包含主要有效負載的 ZIP 文件並重新啟動受害者的機器。
系統重啟是銀行木馬和垃圾郵件工具的啟動點,使威脅行為者能夠竊取數據、記錄擊鍵、捕獲屏幕截圖,並向受害者的聯繫人發送額外的網絡釣魚電子郵件。
Chetan Raghuprasad 將此活動描述為多階段攻擊,從網絡釣魚電子郵件開始,然後使用 PowerShell 下載程序腳本和旁加載合法可執行文件繼續傳遞有效負載。
該銀行木馬使用 Delphi 編程語言編寫,是一個 32 位 Windows DLL,與 Mekotio 和 Casbaneiro 等其他巴西惡意軟件家族有相似之處。
另一方面,Horabot 是一款基於 PowerShell 的釣魚殭屍網絡程序,專為 Outlook 而設計。它通過向受害者郵箱中找到的所有電子郵件地址發送網絡釣魚電子郵件來傳播感染,其目的是隱藏威脅行為者的網絡釣魚基礎設施。
自 2021 年以來,SentinelOne 將針對 30 多家葡萄牙金融機構的長期活動歸咎於使用信息竊取惡意軟件的未知巴西威脅行為者後不久,便披露了這一信息。
此外,還發現了一種名為 PixBankBot 的新型 Android 銀行木馬,它利用操作系統的可訪問性服務通過巴西 PIX 支付平台進行欺詐性匯款。 PixBankBot 是一系列專門針對巴西銀行的惡意軟件中的最新一款,加入了最近幾個月發現的 BrasDex、PixPirate 和 GoatRAT 的行列。