Търсене
Close this search box.

Нова кампания превзема акаунтите на жертвите в Gmail и Outlook

Неизвестна досега кампания, включваща зловредния софтуер Hotabot botnet, е насочена към испаноговорящи потребители  поне от ноември 2020 г., като ги заразява с банков троянец и спам инструмент.

Зловредният софтуер дава възможност на операторите да поемат контрола над имейл акаунтите на жертвата в Gmail, Outlook, Hotmail или Yahoo, да откраднат имейл данни и 2FA кодове, пристигащи в пощенската кутия, и да изпращат фишинг имейли от компрометираните акаунти.

Новата операция на Horabot е открита от анализатори на Cisco Talos, които съобщават, че отговорникът за заплахите зад нея вероятно е базиран в Бразилия.

Започва с фишинг

Многоетапната верига на заразяване започва с фишинг имейл на данъчна тематика, изпратен до целта, с HTML прикачен файл, за който се предполага, че е разписка за плащане.

Отварянето на HTML файла стартира верига от пренасочвания на URL адреси, която отвежда жертвата на HTML страница, хоствана в контролиран от нападателя AWS.

Жертвата щраква върху хипервръзката на страницата и изтегля RAR архив, който съдържа пачов файл с разширение CMD, който изтегля PowerShell скрипт, който извлича троянски DLL и набор от легитимни изпълними файлове от C2 сървъра.

Тези троянски коне се изпълняват, за да изтеглят последните два полезни товара от друг C2 сървър. Единият е скрипт за изтегляне на PowerShell, а другият е двоичният файл Horabot.

Банков троянец

 

Един от DLL файловете в изтегления ZIP, „jli.dll“, който се зарежда от изпълнимия файл „kinit.exe“, е банков троянец, написан на Delphi.

Той е насочен към системна информация (език, размер на диска, антивирусен софтуер, име на хост, версия на операционната система, IP адрес), потребителски данни и данни за дейността.

Освен това троянецът предлага на операторите си възможности за отдалечен достъп, като например извършване на действия с файлове, и може да извършва също така следене на клавишите, правене на снимки на екрана и проследяване на събитията на мишката.

Когато жертвата отвори приложение, троянецът наслагва фалшив прозорец върху него, за да подмами жертвите да въведат чувствителни данни като данни за сметка за онлайн банкиране или еднократни кодове.

Цялата информация, събрана от компютъра на жертвата, се изпраща до сървъра за управление и контрол на нападателя чрез HTTP POST заявки.

Cisco обяснява, че троянецът има няколко вградени антианалитични механизма, които му пречат да работи в пясъчници или заедно с дебъгъри.

ZIP архивът съдържа и криптиран DLL инструмент за спам с име „_upyqta2_J.mdat“, предназначен за кражба на идентификационни данни за популярни уебпощенски услуги като Gmail, Hotmail и Yahoo.

След като пълномощията бъдат компрометирани, инструментът поема имейл акаунта на жертвата, генерира спам имейли и ги изпраща до контактите, открити в пощенската кутия на жертвата, като донякъде продължава заразяването на случаен принцип.

Този инструмент също така разполага с възможности за регистриране на клавиши, правене на снимки на екрана и прихващане или проследяване на събития на мишката, като функционално се припокрива с банковия троянец, вероятно за излишък.

Horabot

Основният полезен товар, пуснат в системата на жертвата, е Horabot – документиран PowerShell-базиран ботнет, който се насочва към пощенските кутии на жертвата в Outlook, за да краде контакти и да разпространява фишинг имейли, съдържащи злонамерени HTML прикачени файлове.

Зловредният софтуер стартира десктоп приложението Outlook на жертвата, за да прегледа внимателно адресната книга и контактите от съдържанието на пощенската кутия.

„След инициализиране скриптът [Horabot] търси файловете с данни на Outlook от папката с данни на приложението Outlook в профила на жертвата“, обяснява Cisco в доклада.

„Той изброява всички папки и имейли във файла с данни на Outlook на жертвата и извлича имейл адреси от полетата за изпращач, получатели, CC и BCC на имейлите.“

Всички извлечени имейл адреси се записват във файл „.Outlook“, след което се кодират и ексфилтрират към сървъра C2.

Накрая зловредният софтуер създава локално HTML файл, запълва го със съдържание, копирано от външен ресурс, и изпраща фишинг имейли до всички извлечени имейл адреси поотделно.

Когато процесът на разпространение на фишинг имейли приключи, локално създадените файлове и папки се изтриват, за да се заличат всички следи.

Въпреки че тази кампания на Horabot е насочена главно към потребителите в Мексико, Уругвай, Бразилия, Венецуела, Аржентина, Гватемала и Панама, същите или сътрудничещи си банди могат да разширят обхвата ѝ на други пазари по всяко време, като използват фишинг теми, написани на английски език.

 

Снимки: Cisco

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
15/07/2024

Банките в Сингапур ще према...

Паричният орган на Сингапур (MAS) обяви...
08/07/2024

Измамниците на Euro Vishing...

Европол съобщи за ареста на 54...
05/07/2024

Адекватните действия на Eth...

Извършител на киберпрестъпления  е компрометирал доставчика...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!