03.06.2023 | Новая кампания ботнета Horabot заражает почтовые аккаунты пользователей в Латинской Америке |
Исследователи выявили в киберпространстве ранее неизвестную вредоносную кампанию с участием ботнета Horabot нацелена на испаноязычных пользователей в Латинской Америке. Как сообщается, кампания существует как минимум с ноября 2020 года, и заражает пользователей банковским трояном и инструментом рассылки спама. Вредоносное ПО позволяет хакерам получить доступ к аккаунтам Gmail , Outlook , Hotmail или Yahoo жертв, красть данные из почтовых ящиков и двухфакторные коды аутентификации, а также отправлять фишинговые письма от имени пострадавших. Новую операцию Horabot обнаружили аналитики компании Cisco Talos , которые полагают, что угроза исходит из Бразилии. Доставка на целевое устройствоМногоступенчатая цепочка заражения начинается с фишингового письма на тему налогов, которое содержит HTML -вложение, якобы являющееся квитанцией об оплате. Открыв данный HTML-файл, жертва попадает на страницу, размещенную на сервере AWS , контролируемом атакующими.
Вредоносная страница, размещенная на AWS Когда жертва нажимает переходит по гиперссылке на странице, начинается скачивание RAR-архива, который содержит пакетный файл с расширением «.cmd». Этот файл активирует PowerShell -скрипт, который скачивает троянские DLL -файлы и набор легитимных исполняемых файлов с C2-сервера злоумышленников. Трояны, в свою очередь, загружают ещё две полезные нагрузки с другого C2-сервера. Одна из них — это PowerShell-скрипт для загрузки файлов, а другая — бинарный файл Horabot. Банковский троянОдин из DLL-файлов в скачанном ZIP-архиве, «jli.dll», который подгружается исполняемым файлом «kinit.exe», является банковским трояном, написанным на Delphi . Он собирает информацию о системе жертвы (язык, размер диска, антивирусное ПО, имя хоста, версия ОС, IP-адрес), учётные данные пользователя и данные его активности. Кроме того, троян предоставляет своим операторам возможности удалённого доступа, например, выполнение файловых операций. Также вредонос может перехватывать нажатые клавиши, делать скриншоты и отслеживать передвижение мыши. Когда жертва открывает банковское приложение или его веб-версию в браузере, троян накладывает поверх полей авторизации поддельное окно, чтобы обмануть жертву и заставить её ввести конфиденциальные данные, такие как учётные данные или одноразовые коды, давая киберпреступникам полный доступ к банковскому аккаунту. Cisco объясняет, что троян имеет несколько встроенных механизмов антианализа, чтобы предотвратить его запуск в песочницах или рядом с отладчиками. ZIP-архив также содержит зашифрованный DLL-файл инструмента для рассылки спама под названием «_upyqta2_J.mdat», предназначенный для кражи учётных данных для популярных веб-почтовых сервисов, таких как Gmail, Hotmail и Yahoo. После того как учётные данные скомпрометированы, инструмент захватывает почтовый аккаунт жертвы, генерирует спам-письма и отправляет их контактам из почтового ящика жертвы, распространяя заражение случайным образом. Этот инструмент также обладает возможностями перехвата нажатий клавиш, создания скриншотов и регистрацию движений мыши. Ботнет HorabotОсновная полезная нагрузка, устанавливаемая на систему жертвы в ходе рассмотренной кампании — Horabot. Это основанный на PowerShell ботнет, который атакует почтовые ящики Outlook для кражи контактов и рассылки фишинговых писем с вредоносными HTML-вложениями. Вредоносное ПО запускает приложение Outlook на рабочем столе жертвы для анализа адресной книги и контактов из содержимого почтового ящика. «После инициализации скрипт Horabot ищет файлы данных Outlook из папки профиля жертвы», — объясняют в Cisco. Все извлеченные вредоносом адреса электронной почты записываются в файл «.Outlook», шифруются и передаются злоумышленникам. Наконец, вредоносное ПО создает HTML-файл локально, заполняет его содержимым из внешнего ресурса и отправляет фишинговые письма всем извлеченным адресатам индивидуально. А когда процесс рассылки фишинговых писем завершается, локально созданные файлы и папки удаляются для стирания следов активности программы. Хотя эта кампания Horabot в основном нацелена на пользователей в Мексике, Уругвае, Бразилии, Венесуэле, Аргентине, Гватемале и Панаме, данная кампания в любое время расширить свое присутствие на других рынках, используя фишинговые приманки, написанные на других языках. |
Проверить безопасность сайта