Новости Новая кампания ботнета Horabot заражает почтовые аккаунты пользователей в Латинской Америке

NewsMaker

I'm just a script
Премиум
13,852
20
8 Ноя 2022
Исследователи предполагают, что первоисточником угрозы являются бразильские злоумышленники.


tboslyszgesuuzujxsog1x6shvxzt0jo.jpg


Исследователи выявили в киберпространстве ранее неизвестную вредоносную кампанию с участием ботнета Horabot нацелена на испаноязычных пользователей в Латинской Америке. Как сообщается, кампания существует как минимум с ноября 2020 года, и заражает пользователей банковским трояном и инструментом рассылки спама.

Вредоносное ПО позволяет хакерам получить доступ к аккаунтам Gmail , Outlook , Hotmail или Yahoo жертв, красть данные из почтовых ящиков и двухфакторные коды аутентификации, а также отправлять фишинговые письма от имени пострадавших.

Новую операцию Horabot Для просмотра ссылки Войди или Зарегистрируйся аналитики компании Cisco Talos , которые полагают, что угроза исходит из Бразилии.

<h3> Доставка на целевое устройство </h3> Многоступенчатая цепочка заражения начинается с фишингового письма на тему налогов, которое содержит HTML -вложение, якобы являющееся квитанцией об оплате. Открыв данный HTML-файл, жертва попадает на страницу, размещенную на сервере AWS , контролируемом атакующими.


zm1lzyw3e5m7yhtxigebia7rxzrwcws4.png


Вредоносная страница, размещенная на AWS

Когда жертва нажимает переходит по гиперссылке на странице, начинается скачивание RAR-архива, который содержит пакетный файл с расширением «.cmd». Этот файл активирует PowerShell -скрипт, который скачивает троянские DLL -файлы и набор легитимных исполняемых файлов с C2-сервера злоумышленников. Трояны, в свою очередь, загружают ещё две полезные нагрузки с другого C2-сервера. Одна из них — это PowerShell-скрипт для загрузки файлов, а другая — бинарный файл Horabot.

<h3> Банковский троян </h3> Один из DLL-файлов в скачанном ZIP-архиве, «jli.dll», который подгружается исполняемым файлом «kinit.exe», является банковским трояном, написанным на Delphi . Он собирает информацию о системе жертвы (язык, размер диска, антивирусное ПО, имя хоста, версия ОС, IP-адрес), учётные данные пользователя и данные его активности.

Кроме того, троян предоставляет своим операторам возможности удалённого доступа, например, выполнение файловых операций. Также вредонос может перехватывать нажатые клавиши, делать скриншоты и отслеживать передвижение мыши.

Когда жертва открывает банковское приложение или его веб-версию в браузере, троян накладывает поверх полей авторизации поддельное окно, чтобы обмануть жертву и заставить её ввести конфиденциальные данные, такие как учётные данные или одноразовые коды, давая киберпреступникам полный доступ к банковскому аккаунту.

Cisco объясняет, что троян имеет несколько встроенных механизмов антианализа, чтобы предотвратить его запуск в песочницах или рядом с отладчиками.

ZIP-архив также содержит зашифрованный DLL-файл инструмента для рассылки спама под названием «_upyqta2_J.mdat», предназначенный для кражи учётных данных для популярных веб-почтовых сервисов, таких как Gmail, Hotmail и Yahoo.

После того как учётные данные скомпрометированы, инструмент захватывает почтовый аккаунт жертвы, генерирует спам-письма и отправляет их контактам из почтового ящика жертвы, распространяя заражение случайным образом. Этот инструмент также обладает возможностями перехвата нажатий клавиш, создания скриншотов и регистрацию движений мыши.

<h3> Ботнет Horabot </h3> Основная полезная нагрузка, устанавливаемая на систему жертвы в ходе рассмотренной кампании — Horabot. Это основанный на PowerShell ботнет, который атакует почтовые ящики Outlook для кражи контактов и рассылки фишинговых писем с вредоносными HTML-вложениями.

Вредоносное ПО запускает приложение Outlook на рабочем столе жертвы для анализа адресной книги и контактов из содержимого почтового ящика. «После инициализации скрипт Horabot ищет файлы данных Outlook из папки профиля жертвы», — объясняют в Cisco. Все извлеченные вредоносом адреса электронной почты записываются в файл «.Outlook», шифруются и передаются злоумышленникам.

Наконец, вредоносное ПО создает HTML-файл локально, заполняет его содержимым из внешнего ресурса и отправляет фишинговые письма всем извлеченным адресатам индивидуально. А когда процесс рассылки фишинговых писем завершается, локально созданные файлы и папки удаляются для стирания следов активности программы.

Хотя эта кампания Horabot в основном нацелена на пользователей в Мексике, Уругвае, Бразилии, Венесуэле, Аргентине, Гватемале и Панаме, данная кампания в любое время расширить свое присутствие на других рынках, используя фишинговые приманки, написанные на других языках.
 
Источник новости
www.securitylab.ru

Похожие темы