Неизвестна досега кампания, включваща зловредния софтуер Hotabot botnet, е насочена към испаноговорящи потребители  поне от ноември 2020 г., като ги заразява с банков троянец и спам инструмент.

Зловредният софтуер дава възможност на операторите да поемат контрола над имейл акаунтите на жертвата в Gmail, Outlook, Hotmail или Yahoo, да откраднат имейл данни и 2FA кодове, пристигащи в пощенската кутия, и да изпращат фишинг имейли от компрометираните акаунти.

Новата операция на Horabot е открита от анализатори на Cisco Talos, които съобщават, че отговорникът за заплахите зад нея вероятно е базиран в Бразилия.

Започва с фишинг

Многоетапната верига на заразяване започва с фишинг имейл на данъчна тематика, изпратен до целта, с HTML прикачен файл, за който се предполага, че е разписка за плащане.

Отварянето на HTML файла стартира верига от пренасочвания на URL адреси, която отвежда жертвата на HTML страница, хоствана в контролиран от нападателя AWS.

Жертвата щраква върху хипервръзката на страницата и изтегля RAR архив, който съдържа пачов файл с разширение CMD, който изтегля PowerShell скрипт, който извлича троянски DLL и набор от легитимни изпълними файлове от C2 сървъра.

Тези троянски коне се изпълняват, за да изтеглят последните два полезни товара от друг C2 сървър. Единият е скрипт за изтегляне на PowerShell, а другият е двоичният файл Horabot.

Банков троянец

 

Един от DLL файловете в изтегления ZIP, „jli.dll“, който се зарежда от изпълнимия файл „kinit.exe“, е банков троянец, написан на Delphi.

Той е насочен към системна информация (език, размер на диска, антивирусен софтуер, име на хост, версия на операционната система, IP адрес), потребителски данни и данни за дейността.

Освен това троянецът предлага на операторите си възможности за отдалечен достъп, като например извършване на действия с файлове, и може да извършва също така следене на клавишите, правене на снимки на екрана и проследяване на събитията на мишката.

Когато жертвата отвори приложение, троянецът наслагва фалшив прозорец върху него, за да подмами жертвите да въведат чувствителни данни като данни за сметка за онлайн банкиране или еднократни кодове.

Цялата информация, събрана от компютъра на жертвата, се изпраща до сървъра за управление и контрол на нападателя чрез HTTP POST заявки.

Cisco обяснява, че троянецът има няколко вградени антианалитични механизма, които му пречат да работи в пясъчници или заедно с дебъгъри.

ZIP архивът съдържа и криптиран DLL инструмент за спам с име „_upyqta2_J.mdat“, предназначен за кражба на идентификационни данни за популярни уебпощенски услуги като Gmail, Hotmail и Yahoo.

След като пълномощията бъдат компрометирани, инструментът поема имейл акаунта на жертвата, генерира спам имейли и ги изпраща до контактите, открити в пощенската кутия на жертвата, като донякъде продължава заразяването на случаен принцип.

Този инструмент също така разполага с възможности за регистриране на клавиши, правене на снимки на екрана и прихващане или проследяване на събития на мишката, като функционално се припокрива с банковия троянец, вероятно за излишък.

Horabot

Основният полезен товар, пуснат в системата на жертвата, е Horabot – документиран PowerShell-базиран ботнет, който се насочва към пощенските кутии на жертвата в Outlook, за да краде контакти и да разпространява фишинг имейли, съдържащи злонамерени HTML прикачени файлове.

Зловредният софтуер стартира десктоп приложението Outlook на жертвата, за да прегледа внимателно адресната книга и контактите от съдържанието на пощенската кутия.

„След инициализиране скриптът [Horabot] търси файловете с данни на Outlook от папката с данни на приложението Outlook в профила на жертвата“, обяснява Cisco в доклада.

„Той изброява всички папки и имейли във файла с данни на Outlook на жертвата и извлича имейл адреси от полетата за изпращач, получатели, CC и BCC на имейлите.“

Всички извлечени имейл адреси се записват във файл „.Outlook“, след което се кодират и ексфилтрират към сървъра C2.

Накрая зловредният софтуер създава локално HTML файл, запълва го със съдържание, копирано от външен ресурс, и изпраща фишинг имейли до всички извлечени имейл адреси поотделно.

Когато процесът на разпространение на фишинг имейли приключи, локално създадените файлове и папки се изтриват, за да се заличат всички следи.

Въпреки че тази кампания на Horabot е насочена главно към потребителите в Мексико, Уругвай, Бразилия, Венецуела, Аржентина, Гватемала и Панама, същите или сътрудничещи си банди могат да разширят обхвата ѝ на други пазари по всяко време, като използват фишинг теми, написани на английски език.

 

Снимки: Cisco

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
17/01/2025

Руски кибершпиони са хванат...

Изследователи на Microsoft са разкрили, че...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!