Търсене
Close this search box.

Нова кампания превзема акаунтите на жертвите в Gmail и Outlook

Неизвестна досега кампания, включваща зловредния софтуер Hotabot botnet, е насочена към испаноговорящи потребители  поне от ноември 2020 г., като ги заразява с банков троянец и спам инструмент.

Зловредният софтуер дава възможност на операторите да поемат контрола над имейл акаунтите на жертвата в Gmail, Outlook, Hotmail или Yahoo, да откраднат имейл данни и 2FA кодове, пристигащи в пощенската кутия, и да изпращат фишинг имейли от компрометираните акаунти.

Новата операция на Horabot е открита от анализатори на Cisco Talos, които съобщават, че отговорникът за заплахите зад нея вероятно е базиран в Бразилия.

Започва с фишинг

Многоетапната верига на заразяване започва с фишинг имейл на данъчна тематика, изпратен до целта, с HTML прикачен файл, за който се предполага, че е разписка за плащане.

Отварянето на HTML файла стартира верига от пренасочвания на URL адреси, която отвежда жертвата на HTML страница, хоствана в контролиран от нападателя AWS.

Жертвата щраква върху хипервръзката на страницата и изтегля RAR архив, който съдържа пачов файл с разширение CMD, който изтегля PowerShell скрипт, който извлича троянски DLL и набор от легитимни изпълними файлове от C2 сървъра.

Тези троянски коне се изпълняват, за да изтеглят последните два полезни товара от друг C2 сървър. Единият е скрипт за изтегляне на PowerShell, а другият е двоичният файл Horabot.

Банков троянец

 

Един от DLL файловете в изтегления ZIP, „jli.dll“, който се зарежда от изпълнимия файл „kinit.exe“, е банков троянец, написан на Delphi.

Той е насочен към системна информация (език, размер на диска, антивирусен софтуер, име на хост, версия на операционната система, IP адрес), потребителски данни и данни за дейността.

Освен това троянецът предлага на операторите си възможности за отдалечен достъп, като например извършване на действия с файлове, и може да извършва също така следене на клавишите, правене на снимки на екрана и проследяване на събитията на мишката.

Когато жертвата отвори приложение, троянецът наслагва фалшив прозорец върху него, за да подмами жертвите да въведат чувствителни данни като данни за сметка за онлайн банкиране или еднократни кодове.

Цялата информация, събрана от компютъра на жертвата, се изпраща до сървъра за управление и контрол на нападателя чрез HTTP POST заявки.

Cisco обяснява, че троянецът има няколко вградени антианалитични механизма, които му пречат да работи в пясъчници или заедно с дебъгъри.

ZIP архивът съдържа и криптиран DLL инструмент за спам с име „_upyqta2_J.mdat“, предназначен за кражба на идентификационни данни за популярни уебпощенски услуги като Gmail, Hotmail и Yahoo.

След като пълномощията бъдат компрометирани, инструментът поема имейл акаунта на жертвата, генерира спам имейли и ги изпраща до контактите, открити в пощенската кутия на жертвата, като донякъде продължава заразяването на случаен принцип.

Този инструмент също така разполага с възможности за регистриране на клавиши, правене на снимки на екрана и прихващане или проследяване на събития на мишката, като функционално се припокрива с банковия троянец, вероятно за излишък.

Horabot

Основният полезен товар, пуснат в системата на жертвата, е Horabot – документиран PowerShell-базиран ботнет, който се насочва към пощенските кутии на жертвата в Outlook, за да краде контакти и да разпространява фишинг имейли, съдържащи злонамерени HTML прикачени файлове.

Зловредният софтуер стартира десктоп приложението Outlook на жертвата, за да прегледа внимателно адресната книга и контактите от съдържанието на пощенската кутия.

„След инициализиране скриптът [Horabot] търси файловете с данни на Outlook от папката с данни на приложението Outlook в профила на жертвата“, обяснява Cisco в доклада.

„Той изброява всички папки и имейли във файла с данни на Outlook на жертвата и извлича имейл адреси от полетата за изпращач, получатели, CC и BCC на имейлите.“

Всички извлечени имейл адреси се записват във файл „.Outlook“, след което се кодират и ексфилтрират към сървъра C2.

Накрая зловредният софтуер създава локално HTML файл, запълва го със съдържание, копирано от външен ресурс, и изпраща фишинг имейли до всички извлечени имейл адреси поотделно.

Когато процесът на разпространение на фишинг имейли приключи, локално създадените файлове и папки се изтриват, за да се заличат всички следи.

Въпреки че тази кампания на Horabot е насочена главно към потребителите в Мексико, Уругвай, Бразилия, Венецуела, Аржентина, Гватемала и Панама, същите или сътрудничещи си банди могат да разширят обхвата ѝ на други пазари по всяко време, като използват фишинг теми, написани на английски език.

 

Снимки: Cisco

Източник: По материали от Интернет

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

SubdoMailing - развива се а...

Мащабна кампания за рекламни измами, наречена...
15/02/2024

Увеличават се атаките с QR ...

През последното тримесечие броят на имейл...
14/02/2024

Deepfake демокрация: Технол...

Неотдавнашните събития, включително генерираното от изкуствен...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!