Μια νέα στοχευμένη εκστρατεία phishing στοχεύει χώρες της Λατινικής Αμερικής, διανέμοντας το malware Horabot. Σύμφωνα με τη Fortinet, τα phishing emails περιέχουν ψεύτικα τιμολόγια ή οικονομικά έγγραφα και στοχεύουν Ισπανόφωνους χρήστες Windows σε περιοχές όπως το Μεξικό, η Κολομβία, η Χιλή, το Περού, η Γουατεμάλα και η Αργεντινή.
Όπως εξηγεί η ερευνήτρια κυβερνοασφάλειας της FortiGuard Labs, Cara Lin, τα μηνύματα που χρησιμοποιούνται στην καμπάνια περιέχουν κακόβουλα συνημμένα αρχεία, τα οποία επιτρέπουν στους κυβερνοεγκληματίες να κλέβουν διαπιστευτήρια email, να συλλέγουν επαφές και να εγκαθιστούν τραπεζικά trojans.
Δείτε επίσης: Νέα επίθεση phishing καταχράται Blob URIs για παράκαμψη SEG
Οι επιθέσεις, που παρατηρήθηκαν από την Fortinet τον Απρίλιο του 2025, στέλνουν μηνύματα από τα mailboxes των θυμάτων χρησιμοποιώντας το Outlook COM automation και διαδίδοντας αποτελεσματικά το κακόβουλο λογισμικό μέσα σε εταιρικά ή προσωπικά δίκτυα.
Οι επιτιθέμενοι χρησιμοποιούν, επίσης, VBScript, AutoIt, and PowerShell scripts για system reconnaissance, κλοπή credentials και εγκατάσταση πρόσθετων κακόβουλων στοιχείων.
Το Horabot δεν είναι νέο malware. Αναφέρθηκε από τη Cisco Talos τον Ιούνιο του 2023, αλλά είχε ξεκινήσει τις επιθέσεις από το 2020, στοχεύοντας Ισπανόφωνους χρήστες στη Λατινική Αμερική. Πιστεύεται ότι οι επιθέσεις έγιναν από μια hacking ομάδα με έδρα τη Βραζιλία. Επιπλέον, το 2024, η Trustwave SpiderLabs ανέδειξε μια παρόμοια phishing εκστρατεία στην ίδια περιοχή, η οποία έφερε ισχυρές ομοιότητες με τη δράση του Horabot, επιβεβαιώνοντας τη συνεχιζόμενη απειλή για τους χρήστες στην περιοχή.
Νέες τεχνικές phishing: Πώς λειτουργεί η απειλή Horabot
Σύμφωνα με τη Fortinet, οι νέες phishing επιθέσεις ξεκινούν με παραπλανητικά emails που εμφανίζονται ως τιμολόγια και καλούν τους παραλήπτες να ανοίξουν ένα συνημμένο αρχείο ZIP. Οι χρήστες πιστεύουν ότι περιέχεται ένα αθώο αρχείο PDF, αλλά στην πραγματικότητα υπάρχει ένα HTML file με Base64-encoded HTML data. Αυτό ενεργοποιεί επικοινωνία με εξωτερικό διακομιστή και κατεβάζει ένα δεύτερο αρχείο ZIP με νέο επιβλαβές περιεχόμενο.
Το νέο αυτό αρχείο περιλαμβάνει ένα HTA (HTML Application), το οποίο «φορτώνει» script από απομακρυσμένο server. Το script εισάγει ένα VBScript που πραγματοποιεί ελέγχους ασφαλείας: αν ανιχνεύσει εγκατεστημένο το antivirus Avast ή διαπιστώσει ότι τρέχει σε εικονικό μηχάνημα, διακόπτει τη λειτουργία του ώστε να αποφύγει τον εντοπισμό.
Δείτε επίσης: CoGUI: Νέο phishing kit έχει στοχεύσει εκατομμύρια χρήστες
Εφόσον δεν μπλοκαριστεί, το script προχωρά στη συλλογή πληροφοριών του συστήματος και τις αποστέλλει σε διακομιστή ελέγχου. Παράλληλα, ενεργοποιεί επιπλέον payloads: ένα AutoIt script που απελευθερώνει ένα banking trojan μέσω DLL και ένα PowerShell script που σαρώνει το Outlook για διευθύνσεις email και εξαπλώνει νέα phishing μηνύματα εντός του δικτύου.
Η επίθεση δεν σταματά εκεί. Όπως εξηγεί η Cara Lin της FortiGuard Labs, το Horabot malware συνεχίζει με κλοπή στοιχείων από δημοφιλή προγράμματα περιήγησης, όπως τα Chrome, Edge, Opera, Brave και άλλα, αφαιρώντας αποθηκευμένα δεδομένα σύνδεσης και ιστορικό. Επιπλέον, το λογισμικό παρακολουθεί τη δραστηριότητα του χρήστη και μπορεί να εμφανίσει πλαστά αναδυόμενα παράθυρα σχεδιασμένα να υποκλέψουν διαπιστευτήρια τραπεζικών ή άλλων ευαίσθητων λογαριασμών.
Προστασία από phishing
Οι επιθέσεις phishing μπορεί να είναι πολύ αποτελεσματικές, αλλά μπορείτε να προστατευτείτε ακολουθώντας αυτές τις βασικές συμβουλές:
Να είστε επιφυλακτικοί με ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και μηνύματα
- Μην κάνετε κλικ σε συνδέσμους και μην κάνετε λήψη συνημμένων από άγνωστους ή απροσδόκητους αποστολείς.
- Ελέγξτε προσεκτικά τη διεύθυνση email του αποστολέα—οι phishers χρησιμοποιούν συχνά διευθύνσεις με παρόμοια εμφάνιση.
- Αναζητήστε ορθογραφικά και γραμματικά λάθη, τα οποία είναι κοινά στα μηνύματα ηλεκτρονικού ψαρέματος.
Επαληθεύστε πριν ενεργήσετε
- Εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου απαιτεί άμεση δράση (όπως “Ο λογαριασμός σας θα κλειδωθεί!”), επαληθεύστε απευθείας επισκεπτόμενοι τον επίσημο ιστότοπο αντί να κάνετε κλικ σε συνδέσμους.
- Επικοινωνήστε με τον αποστολέα μέσω των επίσημων καναλιών (εάν δεν είστε σίγουροι).
Τοποθετήστε το δείκτη του ποντικιού πάνω από συνδέσμους (πριν κάνετε κλικ)
- Τοποθετήστε τον κέρσορα πάνω από συνδέσμους για να δείτε την πραγματική διεύθυνση URL πριν κάνετε κλικ. Εάν φαίνεται περίεργο ή διαφορετικό από το επίσημο domain, μην κάνετε κλικ.
Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA)
- Ακόμα κι αν ένας χάκερ λάβει τον κωδικό πρόσβασής σας, το MFA προσθέτει ένα επιπλέον επίπεδο ασφαλείας (όπως ένας κωδικός που αποστέλλεται στο τηλέφωνό σας).
Διατηρήστε ενημερωμένα τα εργαλεία λογισμικού και ασφάλειας
- Ενημερώνετε τακτικά το πρόγραμμα περιήγησής σας, το λειτουργικό σύστημα και το λογισμικό προστασίας από ιούς για προστασία από κακόβουλο λογισμικό (π.χ. Horabot).
Δείτε επίσης: Darcula phishing: Κλοπή χιλιάδων πιστωτικών καρτών
Μην μοιράζεστε ευαίσθητες πληροφορίες μέσω email
- Οι νόμιμες εταιρείες δεν θα ζητούν κωδικούς πρόσβασης, αριθμούς κοινωνικής ασφάλισης ή τραπεζικά στοιχεία μέσω email.
Εκπαιδεύστε τον εαυτό σας και την ομάδα σας
- Μείνετε ενημερωμένοι για τις πιο πρόσφατες τακτικές phishing και εκπαιδεύστε τους υπαλλήλους ή τα μέλη της οικογένειας για το πώς να τις εντοπίζουν.
Χρησιμοποιήστε έναν Password Manager
- Οι διαχειριστές κωδικών πρόσβασης βοηθούν στη δημιουργία και αποθήκευση ισχυρών, μοναδικών κωδικών πρόσβασης για κάθε ιστότοπο, μειώνοντας τον κίνδυνο παραβίασης.
Αναφέρετε Απόπειρες Phishing
- Εάν λάβετε ένα μήνυμα phishing, αναφέρετέ το στον πάροχο ηλεκτρονικού ταχυδρομείου σας και στην εταιρεία που πλαστοπροσωπείται.
Πηγή: thehackernews.com
