Нова кампания превзема акаунтите на жертвите в Gmail и Outlook

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Зловреден код

Неизвестна досега кампания, включваща зловредния софтуер Hotabot botnet, е насочена към испаноговорящи потребители  поне от ноември 2020 г., като ги заразява с банков троянец и спам инструмент.

Зловредният софтуер дава възможност на операторите да поемат контрола над имейл акаунтите на жертвата в Gmail, Outlook, Hotmail или Yahoo, да откраднат имейл данни и 2FA кодове, пристигащи в пощенската кутия, и да изпращат фишинг имейли от компрометираните акаунти.

Новата операция на Horabot е открита от анализатори на Cisco Talos, които съобщават, че отговорникът за заплахите зад нея вероятно е базиран в Бразилия.

Започва с фишинг

Многоетапната верига на заразяване започва с фишинг имейл на данъчна тематика, изпратен до целта, с HTML прикачен файл, за който се предполага, че е разписка за плащане.

Отварянето на HTML файла стартира верига от пренасочвания на URL адреси, която отвежда жертвата на HTML страница, хоствана в контролиран от нападателя AWS.

Жертвата щраква върху хипервръзката на страницата и изтегля RAR архив, който съдържа пачов файл с разширение CMD, който изтегля PowerShell скрипт, който извлича троянски DLL и набор от легитимни изпълними файлове от C2 сървъра.

Тези троянски коне се изпълняват, за да изтеглят последните два полезни товара от друг C2 сървър. Единият е скрипт за изтегляне на PowerShell, а другият е двоичният файл Horabot.

Банков троянец

 

Един от DLL файловете в изтегления ZIP, „jli.dll“, който се зарежда от изпълнимия файл „kinit.exe“, е банков троянец, написан на Delphi.

Той е насочен към системна информация (език, размер на диска, антивирусен софтуер, име на хост, версия на операционната система, IP адрес), потребителски данни и данни за дейността.

Освен това троянецът предлага на операторите си възможности за отдалечен достъп, като например извършване на действия с файлове, и може да извършва също така следене на клавишите, правене на снимки на екрана и проследяване на събитията на мишката.

Когато жертвата отвори приложение, троянецът наслагва фалшив прозорец върху него, за да подмами жертвите да въведат чувствителни данни като данни за сметка за онлайн банкиране или еднократни кодове.

Цялата информация, събрана от компютъра на жертвата, се изпраща до сървъра за управление и контрол на нападателя чрез HTTP POST заявки.

Cisco обяснява, че троянецът има няколко вградени антианалитични механизма, които му пречат да работи в пясъчници или заедно с дебъгъри.

ZIP архивът съдържа и криптиран DLL инструмент за спам с име „_upyqta2_J.mdat“, предназначен за кражба на идентификационни данни за популярни уебпощенски услуги като Gmail, Hotmail и Yahoo.

След като пълномощията бъдат компрометирани, инструментът поема имейл акаунта на жертвата, генерира спам имейли и ги изпраща до контактите, открити в пощенската кутия на жертвата, като донякъде продължава заразяването на случаен принцип.

Този инструмент също така разполага с възможности за регистриране на клавиши, правене на снимки на екрана и прихващане или проследяване на събития на мишката, като функционално се припокрива с банковия троянец, вероятно за излишък.

Horabot

Основният полезен товар, пуснат в системата на жертвата, е Horabot – документиран PowerShell-базиран ботнет, който се насочва към пощенските кутии на жертвата в Outlook, за да краде контакти и да разпространява фишинг имейли, съдържащи злонамерени HTML прикачени файлове.

Зловредният софтуер стартира десктоп приложението Outlook на жертвата, за да прегледа внимателно адресната книга и контактите от съдържанието на пощенската кутия.

„След инициализиране скриптът [Horabot] търси файловете с данни на Outlook от папката с данни на приложението Outlook в профила на жертвата“, обяснява Cisco в доклада.

„Той изброява всички папки и имейли във файла с данни на Outlook на жертвата и извлича имейл адреси от полетата за изпращач, получатели, CC и BCC на имейлите.“

Всички извлечени имейл адреси се записват във файл „.Outlook“, след което се кодират и ексфилтрират към сървъра C2.

Накрая зловредният софтуер създава локално HTML файл, запълва го със съдържание, копирано от външен ресурс, и изпраща фишинг имейли до всички извлечени имейл адреси поотделно.

Когато процесът на разпространение на фишинг имейли приключи, локално създадените файлове и папки се изтриват, за да се заличат всички следи.

Въпреки че тази кампания на Horabot е насочена главно към потребителите в Мексико, Уругвай, Бразилия, Венецуела, Аржентина, Гватемала и Панама, същите или сътрудничещи си банди могат да разширят обхвата ѝ на други пазари по всяко време, като използват фишинг теми, написани на английски език.

 

Снимки: Cisco

#фишинг
По материали от Интернет

Подобни

Компрометирани линкове на CPUID разпространяват троянци
14.04.2026
cpuid
Компрометирана актуализация на Smart Slider 3 Pro
14.04.2026
wordpress
Нулев ден в Adobe Reader
14.04.2026
adobe-logo
Фишинг атаки с фалшиви iCloud известия
13.04.2026
Fraud Awareness Week- insider
Китайска група ускорява ransomware атаките до часове
9.04.2026
china
Drift Protocol: Атака, изграждана с месеци
7.04.2026
ddos attack-5338472_1280

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.