Новая кампания ботнета Horabot заражает почтовые аккаунты пользователей в Латинской Америке

[Artifact]

Исследователи предполагают, что первоисточником угрозы являются бразильские злоумышленники.
Исследователи выявили в киберпространстве ранее неизвестную вредоносную кампанию с участием ботнета Horabot нацелена на испаноязычных пользователей в Латинской Америке. Как сообщается, кампания существует как минимум с ноября 2020 года, и заражает пользователей банковским трояном и инструментом рассылки спама.
Вредоносное ПО позволяет хакерам получить доступ к аккаунтам Gmail, Outlook, Hotmail или Yahoo жертв, красть данные из почтовых ящиков и двухфакторные коды аутентификации, а также отправлять фишинговые письма от имени пострадавших.
Новую операцию Horabot обнаружили аналитики компании Cisco Talos, которые полагают, что угроза исходит из Бразилии.
Доставка на целевое устройство
Многоступенчатая цепочка заражения начинается с фишингового письма на тему налогов, которое содержит HTML-вложение, якобы являющееся квитанцией об оплате. Открыв данный HTML-файл, жертва попадает на страницу, размещенную на сервере AWS, контролируемом атакующими.

Вредоносная страница, размещенная на AWS
Когда жертва нажимает переходит по гиперссылке на странице, начинается скачивание RAR-архива, который содержит пакетный файл с расширением «.cmd». Этот файл активирует PowerShell-скрипт, который скачивает троянские DLL-файлы и набор легитимных исполняемых файлов с C2-сервера злоумышленников. Трояны, в свою очередь, загружают ещё две полезные нагрузки с другого C2-сервера. Одна из них — это PowerShell-скрипт для загрузки файлов, а другая — бинарный файл Horabot.
Банковский троян
Один из DLL-файлов в скачанном ZIP-архиве, «jli.dll», который подгружается исполняемым файлом «kinit.exe», является банковским трояном, написанным на Delphi. Он собирает информацию о системе жертвы (язык, размер диска, антивирусное ПО, имя хоста, версия ОС, IP-адрес), учётные данные пользователя и данные его активности.
Кроме того, троян предоставляет своим операторам возможности удалённого доступа, например, выполнение файловых операций. Также вредонос может перехватывать нажатые клавиши, делать скриншоты и отслеживать передвижение мыши.
Когда жертва открывает банковское приложение или его веб-версию в браузере, троян накладывает поверх полей авторизации поддельное окно, чтобы обмануть жертву и заставить её ввести конфиденциальные данные, такие как учётные данные или одноразовые коды, давая киберпреступникам полный доступ к банковскому аккаунту.
Cisco объясняет, что троян имеет несколько встроенных механизмов антианализа, чтобы предотвратить его запуск в песочницах или рядом с отладчиками.
ZIP-архив также содержит зашифрованный DLL-файл инструмента для рассылки спама под названием «_upyqta2_J.mdat», предназначенный для кражи учётных данных для популярных веб-почтовых сервисов, таких как Gmail, Hotmail и Yahoo.
После того как учётные данные скомпрометированы, инструмент захватывает почтовый аккаунт жертвы, генерирует спам-письма и отправляет их контактам из почтового ящика жертвы, распространяя заражение случайным образом. Этот инструмент также обладает возможностями перехвата нажатий клавиш, создания скриншотов и регистрацию движений мыши.
Ботнет Horabot
Основная полезная нагрузка, устанавливаемая на систему жертвы в ходе рассмотренной кампании — Horabot. Это основанный на PowerShell ботнет, который атакует почтовые ящики Outlook для кражи контактов и рассылки фишинговых писем с вредоносными HTML-вложениями.
Вредоносное ПО запускает приложение Outlook на рабочем столе жертвы для анализа адресной книги и контактов из содержимого почтового ящика. «После инициализации скрипт Horabot ищет файлы данных Outlook из папки профиля жертвы», — объясняют в Cisco. Все извлеченные вредоносом адреса электронной почты записываются в файл «.Outlook», шифруются и передаются злоумышленникам.
Наконец, вредоносное ПО создает HTML-файл локально, заполняет его содержимым из внешнего ресурса и отправляет фишинговые письма всем извлеченным адресатам индивидуально. А когда процесс рассылки фишинговых писем завершается, локально созданные файлы и папки удаляются для стирания следов активности программы.
Хотя эта кампания Horabot в основном нацелена на пользователей в Мексике, Уругвае, Бразилии, Венесуэле, Аргентине, Гватемале и Панаме, данная кампания в любое время расширить свое присутствие на других рынках, используя фишинговые приманки, написанные на других языках.