Μια καμπάνια που διανέμει το Horabot botnet malware έχει εμφανιστεί στη Λατινική Αμερική από τον Νοέμβριο του 2020, στοχεύοντας ισπανόφωνους χρήστες. Η καμπάνια μολύνει τους χρήστες με ένα banking trojan και ένα spam tool.
Το malware επιτρέπει στους χειριστές του να αναλαμβάνουν τον έλεγχο των λογαριασμών email Gmail, Outlook, Hotmail ή Yahoo του θύματος. Αυτό σημαίνει ότι οι επιτιθέμενοι μπορούν να κλέβουν δεδομένα email και κωδικούς 2FA που φτάνουν στα εισερχόμενα, καθώς επίσης και να στέλνουν phishing emails από τους παραβιασμένους λογαριασμούς.
Η νέα κακόβουλη επιχείρηση Horabot ανακαλύφθηκε από αναλυτές της Cisco Talos. Πιστεύεται ότι οι επιτιθέμενοι πιθανότατα εδρεύουν στη Βραζιλία.
Phishing emails
Η επίθεση ξεκινά με ένα phishing email, με θέμα σχετικό με την εφορία, και περιλαμβάνει ένα συνημμένο HTML που υποτίθεται ότι είναι μια απόδειξη πληρωμής.
Δείτε επίσης: Το SeroXen RAT malware στοχεύει gamers
Αν ο χρήστης ανοίξει το HTML, ξεκινά μια αλυσίδα ανακατεύθυνσης URL που οδηγεί το θύμα σε μια σελίδα HTML που φιλοξενείται σε ένα AWS instance που ελέγχεται από τους εισβολείς.
Το θύμα κάνει κλικ στον υπερσύνδεσμο στη σελίδα και κατεβάζει ένα RAR archive που περιέχει ένα batch file με επέκταση CMD. Αυτό με τη σειρά του κατεβάζει ένα PowerShell script που ανακτά trojan DLLs και κάποια νόμιμα εκτελέσιμα αρχεία από τον C2 server.
Τα trojans ουσιαστικά θα φέρουν τα δύο τελευταία payloads από διαφορετικό C2 server. Το ένα είναι ένα PowerShell downloader script και το άλλο είναι το Horabot binary.
Banking trojan
Ένα από τα αρχεία DLL στο ληφθέν ZIP, το “jli.dll“, το οποίο φορτώνεται από το εκτελέσιμο αρχείο “kinit.exe“, είναι ένα banking trojan. Στοχεύει πληροφορίες συστήματος (γλώσσα, μέγεθος δίσκου, λογισμικό προστασίας από ιούς, όνομα κεντρικού υπολογιστή, έκδοση λειτουργικού συστήματος, διεύθυνση IP), crednetials χρήστη και δεδομένα δραστηριότητας. Επιπλέον, προσφέρει στους χειριστές δυνατότητες απομακρυσμένης πρόσβασης και μπορεί επίσης να πραγματοποιήσει keylogging, λήψη screenshot και mouse event tracking.
Όταν το θύμα ανοίγει μια εφαρμογή, το trojan εμφανίζει ένα ψεύτικο παράθυρο πάνω του για να ξεγελάσει το θύμα ώστε να εισάγει ευαίσθητα δεδομένα όπως credentials τραπεζικών λογαριασμών ή κωδικούς μίας χρήσης.
Όλες οι πληροφορίες που συλλέγονται από τον υπολογιστή του θύματος αποστέλλονται στους επιτιθέμενους.
Η Cisco εξηγεί ότι το trojan έχει αρκετούς ενσωματωμένους μηχανισμούς αντι-ανάλυσης για να αποτρέψει την εκτέλεσή του σε sandboxes.
Δείτε επίσης: Οι ομάδες ransomware υιοθετούν επιχειρηματικές πρακτικές για να αυξήσουν τα κέρδη τους
Το αρχείο ZIP περιέχει, επίσης, ένα κρυπτογραφημένο spam tool DLL με το όνομα “_upyqta2_J.mdat“, που έχει σχεδιαστεί για την κλοπή credentials για δημοφιλείς υπηρεσίες webmail όπως το Gmail, το Hotmail και το Yahoo.
Μόλις παραβιαστούν τα credentials, το εργαλείο αναλαμβάνει τον λογαριασμό email του θύματος, δημιουργεί spam emails και τα στέλνει στις επαφές του θύματος, συνεχίζοντας τις επιθέσεις σε άλλα άτομα.
Αυτό το εργαλείο διαθέτει, επίσης, δυνατότητες keylogging, λήψης screenshot και mouse event tracking, όπως και το banking trojan που αναφέραμε παραπάνω.
Horabot botnet malware
Όπως είπαμε και στην αρχή, το βασικό payload που φτάνει στο σύστημα του θύματος είναι το Horabot, ένα PowerShell-based botnet malware που στοχεύει Outlook mailboxes για να κλέψει επαφές και να στείλει phishing emails που περιέχουν κακόβουλα συνημμένα HTML.
Το κακόβουλο λογισμικό εκκινεί το desktop Outlook application του θύματος για να ελέγξει το address book και τις επαφές από τα περιεχόμενα του mailbox.
“Μετά την προετοιμασία, το script [Horabot] αναζητά τα αρχεία δεδομένων του Outlook από το data folder του Outlook“, εξηγεί η Cisco στην αναφορά.
“Αριθμεί όλους τους φακέλους και τα μηνύματα ηλεκτρονικού ταχυδρομείου στο αρχείο δεδομένων του Outlook του θύματος και εξάγει τις διευθύνσεις email από τα πεδία αποστολέα, παραλήπτη, CC και BCC των emails”. Όλες οι διευθύνσεις email εγγράφονται σε ένα αρχείο “.Outlook” και στη συνέχεια κωδικοποιούνται και στέλνονται στον C2 server.
Τέλος, το malware δημιουργεί ένα αρχείο HTML τοπικά, το γεμίζει με περιεχόμενο που έχει αντιγραφεί από έναν εξωτερικό πόρο και στέλνει phishing emails σε όλες τις κλεμμένες διευθύνσεις email ξεχωριστά.
Όταν ολοκληρωθεί η διαδικασία αποστολής των phishing emails, τα αρχεία και οι φάκελοι που δημιουργούνται τοπικά διαγράφονται, ώστε να μην υπάρχουν ίχνη του malware.
Δείτε επίσης: RomCom backdoor: Διανέμεται μέσω fake Google Ads που προωθούν το ChatGPT και άλλα
Προς το παρόν, αυτή η καμπάνια Horabot στοχεύει κυρίως χρήστες στο Μεξικό, την Ουρουγουάη, τη Βραζιλία, τη Βενεζουέλα, την Αργεντινή, τη Γουατεμάλα και τον Παναμά. Ωστόσο, οι επιτυχημένες επιθέσεις θα μπορούσαν να κάνουν τους επιτιθέμενους να στραφούν και σε άλλες αγορές ανά πάσα στιγμή.
Οι phishing επιθέσεις μπορεί να είναι καταστροφικές τόσο για άτομα όσο και για επιχειρήσεις, αφού μπορούν να οδηγήσουν σε κλοπή σημαντικών δεδομένων αλλά και σε περαιτέρω μόλυνση με κακόβουλα λογισμικά. Με την εξοικείωση με διαφορετικούς τύπους επιθέσεων, την επαλήθευση των πληροφοριών του αποστολέα, την εφαρμογή εργαλείων anti-phishing, την εκπαίδευση στις νέες απειλές και την ενημέρωση των συστημάτων και των λογισμικών σας, μπορείτε να προστατευτείτε από αυτούς τους τύπους επιθέσεων.
Πηγή: www.bleepingcomputer.com