Tehdit Oyuncuları, Horabot Kötü Yazılım Teslim Edilmesi İçin Silahlı HTML Dosyalarından yararlanır


Fordiguard Labs’ın yakın tarihli bir keşfi, Horabot kötü amaçlı yazılımları konuşlandıran ve ağırlıklı olarak Latin Amerika’da İspanyolca konuşan kullanıcıları hedefleyen tehdit aktörleri tarafından düzenlenen kurnaz bir kimlik avı kampanyasını tanıttı.

2025 Global Tehdit Peyzaj Raporunda ayrıntılı olarak açıklanan bu yüksek şiddetli tehdit, şirket ve kişisel ağlar aracılığıyla yayılırken, e-posta kimlik bilgileri ve bankacılık verileri de dahil olmak üzere hassas bilgileri çalmak için kimlik avı e-postalarına gömülü kötü niyetli HTML dosyalarını kullanıyor.

En azından Nisan 2025’ten beri aktif olan kampanya, kurbanları aldatmak için meşru faturalar olarak görünen kültürel olarak uyarlanmış e -postaları kullanarak Meksika, Guatemala, Kolombiya, Peru, Şili ve Arjantin gibi ülkelerdeki kullanıcılara odaklanıyor.

– Reklamcılık –
Google Haberleri

Gelişmiş kimlik avı kampanyası

Saldırı, genellikle “factura adantı” (ekli fatura) gibi konu satırlarına bir PDF faturası eklediğini iddia eden İspanyolca yazılmış bir kimlik avı e -postasıyla başlar.

Horabot kötü amaçlı yazılım
Kimlik avı e -postası

Bu e-postalar, alıcıları baz64 kodlu verilere sahip kötü amaçlı bir HTML dosyası içeren bir fermuar eki açmaya çeker.

Kod çözüldükten sonra, HTML, bir HTA dosyasını barındıran “Adjuntos_23042025.zip” adlı bir zip dosyası olan ikincil bir yükü indiren uzak bir URL ortaya çıkar.

Fortinet raporuna göre, bu dosya tarayıcı yeniden yönlendirme hileleri kullanır ve VBScript, Autoit ve PowerShell’i içeren karmaşık bir enfeksiyon zinciri başlatan daha fazla kötü amaçlı komut dosyası yükler.

Uzak sunucularda barındırılan VBScript, statik algılamadan kaçmak için özel dize kod çözme, antivirüs yazılımı (örn. AVAST) ve sanal makineler için çevre kontrolleri gibi görevleri gerçekleştirerek, başlangıç ​​klasörlerindeki kısayollar yoluyla kalıcılık mekanizmaları oluşturur.

Ayrıca, IP adresleri ve kullanıcı adları gibi sistem bilgilerini toplayarak ve komut ve kontrol (C2) sunucularına göndererek veri eksfiltrasyonunu düzenler.

Çok aşamalı saldırı zinciri

Müteakip yükler, giriş bilgilerini yakalamak için sahte açılır pencereler dağıtarken, Google Chrome, Microsoft Edge ve Opera gibi uygulamalardan tarayıcı verilerinin hırsızlığını sağlayan sert kodlanmış bir anahtarla kötü niyetli bir DLL’yi şifresini çözen bir otomatik komut dosyası içerir.

Horabot kötü amaçlı yazılım
Otomatik komut dosyası

Eşzamanlı olarak, PowerShell komut dosyaları, e -posta iletişim listelerini hasat etmek, belirli alanları (örn. Gmail, hotmail) filtrelemek ve yeni kurbanlara kötü niyetli ekleri olan özel kimlik avı e -postaları göndermek için Outlook Com Otomasyonunu kullanır.

Bu kendini tanıtan mekanizma, izleri silmek için temizleme rutinleri ile birleştiğinde, Horabot’u meşru pencereler ve görünüm davranışları ile sorunsuz bir şekilde karıştırırken tespit etmek için özellikle gizli ve zorlayıcı hale getirir.

Fordiguard Labs, bu tür kimlik avı saldırılarının artan sofistike olmasını vurgular, kuruluşları sağlam e -posta filtreleme uygulamaya, anormal dosya etkinliğini izlemeye ve çalışanları kimlik avı girişimlerini tanımaya yönlendirmeye çağırır.

Fortinet’in Fortigate ve FortiMail dahil güvenlik çözümleri, bu kötü amaçlı yazılımları HTML/Phishing.683a! TR ve Autoit/Agent.ha! TR gibi imzalar altında tespit eder ve engeller, güncellenmiş sistemlere sahip müşterilere koruma sağlar.

Ayrıca, kullanıcı farkındalığını artırmak için Fortinet’ten ücretsiz siber güvenlik eğitimi önerilir.

Uzlaşma Göstergeleri (IOCS)

TipDeğer
İhtisasT4[.]İletişim[.]mağaza
İhtisaslabodeguitaup[.]uzay
Ivır zıvır209[.]74[.]71[.]168
Ivır zıvır93[.]127[.]200[.]211
SHA256 (senaryo)523d7e9005b2e431068130989caf4a96062a029b50a545d37a2b88e6d04f83d
SHA256 (Autoit)25be0643204fc738db3af84b200d362c3287b30c7491b666c4fe821a8c6b4

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link