Неизвестна досега кампания, включваща зловредния софтуер Hotabot botnet, е насочена към испаноговорящи потребители поне от ноември 2020 г., като ги заразява с банков троянец и спам инструмент.
Зловредният софтуер дава възможност на операторите да поемат контрола над имейл акаунтите на жертвата в Gmail, Outlook, Hotmail или Yahoo, да откраднат имейл данни и 2FA кодове, пристигащи в пощенската кутия, и да изпращат фишинг имейли от компрометираните акаунти.
Новата операция на Horabot е открита от анализатори на Cisco Talos, които съобщават, че отговорникът за заплахите зад нея вероятно е базиран в Бразилия.
Многоетапната верига на заразяване започва с фишинг имейл на данъчна тематика, изпратен до целта, с HTML прикачен файл, за който се предполага, че е разписка за плащане.
Отварянето на HTML файла стартира верига от пренасочвания на URL адреси, която отвежда жертвата на HTML страница, хоствана в контролиран от нападателя AWS.
Жертвата щраква върху хипервръзката на страницата и изтегля RAR архив, който съдържа пачов файл с разширение CMD, който изтегля PowerShell скрипт, който извлича троянски DLL и набор от легитимни изпълними файлове от C2 сървъра.
Тези троянски коне се изпълняват, за да изтеглят последните два полезни товара от друг C2 сървър. Единият е скрипт за изтегляне на PowerShell, а другият е двоичният файл Horabot.
Един от DLL файловете в изтегления ZIP, „jli.dll“, който се зарежда от изпълнимия файл „kinit.exe“, е банков троянец, написан на Delphi.
Той е насочен към системна информация (език, размер на диска, антивирусен софтуер, име на хост, версия на операционната система, IP адрес), потребителски данни и данни за дейността.
Освен това троянецът предлага на операторите си възможности за отдалечен достъп, като например извършване на действия с файлове, и може да извършва също така следене на клавишите, правене на снимки на екрана и проследяване на събитията на мишката.
Когато жертвата отвори приложение, троянецът наслагва фалшив прозорец върху него, за да подмами жертвите да въведат чувствителни данни като данни за сметка за онлайн банкиране или еднократни кодове.
Цялата информация, събрана от компютъра на жертвата, се изпраща до сървъра за управление и контрол на нападателя чрез HTTP POST заявки.
Cisco обяснява, че троянецът има няколко вградени антианалитични механизма, които му пречат да работи в пясъчници или заедно с дебъгъри.
ZIP архивът съдържа и криптиран DLL инструмент за спам с име „_upyqta2_J.mdat“, предназначен за кражба на идентификационни данни за популярни уебпощенски услуги като Gmail, Hotmail и Yahoo.
След като пълномощията бъдат компрометирани, инструментът поема имейл акаунта на жертвата, генерира спам имейли и ги изпраща до контактите, открити в пощенската кутия на жертвата, като донякъде продължава заразяването на случаен принцип.
Този инструмент също така разполага с възможности за регистриране на клавиши, правене на снимки на екрана и прихващане или проследяване на събития на мишката, като функционално се припокрива с банковия троянец, вероятно за излишък.
Основният полезен товар, пуснат в системата на жертвата, е Horabot – документиран PowerShell-базиран ботнет, който се насочва към пощенските кутии на жертвата в Outlook, за да краде контакти и да разпространява фишинг имейли, съдържащи злонамерени HTML прикачени файлове.
Зловредният софтуер стартира десктоп приложението Outlook на жертвата, за да прегледа внимателно адресната книга и контактите от съдържанието на пощенската кутия.
„След инициализиране скриптът [Horabot] търси файловете с данни на Outlook от папката с данни на приложението Outlook в профила на жертвата“, обяснява Cisco в доклада.
„Той изброява всички папки и имейли във файла с данни на Outlook на жертвата и извлича имейл адреси от полетата за изпращач, получатели, CC и BCC на имейлите.“
Всички извлечени имейл адреси се записват във файл „.Outlook“, след което се кодират и ексфилтрират към сървъра C2.
Накрая зловредният софтуер създава локално HTML файл, запълва го със съдържание, копирано от външен ресурс, и изпраща фишинг имейли до всички извлечени имейл адреси поотделно.
Когато процесът на разпространение на фишинг имейли приключи, локално създадените файлове и папки се изтриват, за да се заличат всички следи.
Въпреки че тази кампания на Horabot е насочена главно към потребителите в Мексико, Уругвай, Бразилия, Венецуела, Аржентина, Гватемала и Панама, същите или сътрудничещи си банди могат да разширят обхвата ѝ на други пазари по всяко време, като използват фишинг теми, написани на английски език.
Снимки: Cisco
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.