Siber güvenlik araştırmacıları, kötü amaçlı yazılımları dağıtmak için kullanılan yeni bir kimlik avı kampanyası keşfettiler. Horabot Meksika, Guatemala, Kolombiya, Peru, Şili ve Arjantin gibi Latin Amerika ülkelerindeki Windows kullanıcılarını hedeflemek.
Fortinet Fortiguard Labs araştırmacısı Cara Lin, kampanyanın “kurbanları kötü niyetli ekler açmaya yönlendirmek için faturaları veya finansal belgeleri taklit eden hazırlanmış e -postaların veya mali belgeleri taklit etmek için taklit eden ve e -posta kimlik bilgileri çalmaya, iletişim listelerini hasat edebilmesi ve bankacılık truva atlarını yükleyebileceğini” söyledi.
Nisan 2025’te ağ güvenlik şirketi tarafından gözlemlenen etkinlik, öncelikle İspanyolca konuşan kullanıcıları seçti. Saldırılar, Outlook Com Otomasyonunu kullanarak mağdurların posta kutularından kimlik avı mesajları gönderdiği ve kötü amaçlı yazılımları kurumsal veya kişisel ağlarda etkili bir şekilde yaydığı bulundu.
Buna ek olarak, kampanyanın arkasındaki tehdit aktörleri, sistem keşifleri yapmak, kimlik bilgilerini çalmak ve ek yükler bırakmak için çeşitli VBScript, Outoit ve PowerShell komut dosyaları yürütür.
Horabot ilk olarak Haziran 2023’te Cisco Talos tarafından en azından Kasım 2020’den beri Latin Amerika’da İspanyolca konuşan kullanıcıları hedeflemek olarak belgelendi. Saldırıların Brezilya’dan bir tehdit aktörünün işi olduğu değerlendirildi.
Geçen yıl, Trustwave SpiderLabs, Horabot kötü amaçlı yazılımlarınkiyle benzerlikler sergilediğini söylediği kötü amaçlı yüklerle aynı bölgeyi hedefleyen başka bir kimlik avı kampanyasının ayrıntılarını açıkladı.
En son saldırı seti, kullanıcıları bir PDF belgesi içeren bir fermuar arşivi açmaya ikna etmek için fatura temalı yemleri kullanan bir kimlik avı e-postasıyla başlar. Ancak, gerçekte, ekli ZIP dosyası, uzak bir sunucuya ulaşmak ve sonraki aşamalı yükü indirmek için tasarlanmış Base64 kodlu HTML verilerine sahip kötü amaçlı bir HTML dosyası içerir.
Yük, uzak bir sunucuda barındırılan bir komut dosyasının yüklenmesinden sorumlu olan bir HTML uygulaması (HTA) dosyası içeren başka bir ZIP arşividir. Komut dosyası daha sonra, avast antivirüs kurulursa veya sanal bir ortamda çalışırsa sonlandırılmasına neden olan bir dizi kontrol gerçekleştiren harici bir görsel temel komut dosyası (VBScript) enjekte eder.
VBScript, temel sistem bilgilerini toplamaya, uzak bir sunucuya sunmaya devam eder ve Bankacılık Trojan’ı kötü niyetli bir DLL ve kimlik e -postalarını yaymakla görevlendirilen bir PowerShell betiği de dahil olmak üzere ek yükler alır.
Lin, “Daha sonra kötü amaçlı yazılım, cesur, yandex, Epic Gizlilik Tarayıcısı, Comodo Dragon, Cent tarayıcısı, Opera, Microsoft Edge ve Google Chrome dahil olmak üzere bir dizi hedeflenen web tarayıcısından tarayıcı ile ilgili verileri çalmaya devam ediyor.” Dedi. “Veri hırsızlığına ek olarak, Horabot kurbanın davranışını izler ve hassas kullanıcı giriş bilgilerini yakalamak için tasarlanmış sahte açılır pencereler enjekte eder.”