Ngày 02 tháng 6 năm 2023Ravie LakshmananBotnet / Phần mềm độc hại
Người dùng nói tiếng Tây Ban Nha ở Mỹ Latinh đã nhận được phần mềm độc hại botnet mới có tên Horabot kể từ ít nhất là tháng 11 năm 2020.
Chetan Raghuprasad, nhà nghiên cứu của Cisco Talos cho biết: “Horabot cho phép tác nhân đe dọa kiểm soát hộp thư Outlook của nạn nhân, lọc địa chỉ email của các liên hệ và gửi email lừa đảo có tệp đính kèm HTML độc hại tới tất cả các địa chỉ trong hộp thư của nạn nhân”.
Chương trình botnet cũng cung cấp một trojan tài chính dựa trên Windows và một công cụ thư rác để thu thập thông tin đăng nhập ngân hàng trực tuyến cũng như xâm phạm Gmail, Outlook và Yahoo! tài khoản webmail để làm nổ các email spam.
Công ty an ninh mạng cho biết phần lớn các vụ lây nhiễm nằm ở Mexico, với một số nạn nhân hạn chế được xác định ở Uruguay, Brazil, Venezuela, Argentina, Guatemala và Panama. Tác nhân đe dọa đằng sau chiến dịch được cho là ở Brazil.
Người dùng được nhắm mục tiêu của chiến dịch đang diễn ra chủ yếu bao gồm ngành kế toán, xây dựng và kỹ thuật, phân phối bán buôn và đầu tư, mặc dù người ta nghi ngờ rằng các ngành khác trong khu vực cũng có thể bị ảnh hưởng.
Các cuộc tấn công bắt đầu bằng các email lừa đảo có nội dung thu hút theo chủ đề thuế nhằm lôi kéo người nhận mở tệp đính kèm HTML, từ đó nhúng một liên kết chứa tệp lưu trữ RAR.
Việc mở nội dung của tệp dẫn đến việc thực thi tập lệnh trình tải xuống PowerShell chịu trách nhiệm truy xuất tệp ZIP chứa các tải trọng chính từ máy chủ từ xa và khởi động lại máy.
Việc khởi động lại hệ thống cũng đóng vai trò là bệ phóng cho trojan ngân hàng và công cụ thư rác, cho phép tác nhân đe dọa đánh cắp dữ liệu, ghi lại các lần gõ phím, chụp ảnh màn hình và gửi thêm email lừa đảo đến các liên hệ của nạn nhân.
“Chiến dịch này liên quan đến một chuỗi tấn công nhiều giai đoạn bắt đầu bằng một email lừa đảo và dẫn đến việc phân phối tải trọng thông qua việc thực thi tập lệnh trình tải xuống PowerShell và tải xuống các tệp thực thi hợp pháp”, Raghuprasad nói.
Trojan ngân hàng là một Windows DLL 32-bit được viết bằng ngôn ngữ lập trình Delphi và chia sẻ trùng lặp với các dòng phần mềm độc hại khác của Brazil như Mekotio và Casbaneiro.
Về phần mình, Horabot là một chương trình botnet lừa đảo Outlook được viết bằng PowerShell có khả năng gửi email lừa đảo đến tất cả các địa chỉ email trong hộp thư của nạn nhân để lây nhiễm. Đây cũng là một nỗ lực có chủ ý nhằm giảm thiểu việc cơ sở hạ tầng lừa đảo của tác nhân đe dọa bị lộ.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Tiết lộ được đưa ra một tuần sau khi SentinelOne quy kết một tác nhân đe dọa người Brazil không xác định cho một chiến dịch dài hạn nhắm mục tiêu hơn 30 tổ chức tài chính Bồ Đào Nha bằng phần mềm độc hại đánh cắp thông tin kể từ năm 2021.
Nó cũng theo sau việc phát hiện ra một trojan ngân hàng Android mới có tên là PixBankBot lạm dụng các dịch vụ trợ năng của hệ điều hành để thực hiện chuyển tiền gian lận qua nền tảng thanh toán PIX của Brazil.
PixBankBot cũng là ví dụ mới nhất về phần mềm độc hại tập trung đặc biệt vào các ngân hàng Brazil, có các khả năng tương tự như BrasDex, PixPirate và GoatRAT đã được phát hiện trong những tháng gần đây.
Nếu bất cứ điều gì, sự phát triển đại diện cho một sự lặp lại khác của một nhóm rộng lớn hơn các nỗ lực hack có động cơ tài chính bắt nguồn từ Brazil, điều quan trọng là người dùng phải cảnh giác để tránh trở thành con mồi của những mối đe dọa như vậy.
