Fordiguard Labs’ın yakın tarihli bir keşfi, Horabot kötü amaçlı yazılımları konuşlandıran ve ağırlıklı olarak Latin Amerika’da İspanyolca konuşan kullanıcıları hedefleyen tehdit aktörleri tarafından düzenlenen kurnaz bir kimlik avı kampanyasını tanıttı.
2025 Global Tehdit Peyzaj Raporunda ayrıntılı olarak açıklanan bu yüksek şiddetli tehdit, şirket ve kişisel ağlar aracılığıyla yayılırken, e-posta kimlik bilgileri ve bankacılık verileri de dahil olmak üzere hassas bilgileri çalmak için kimlik avı e-postalarına gömülü kötü niyetli HTML dosyalarını kullanıyor.
En azından Nisan 2025’ten beri aktif olan kampanya, kurbanları aldatmak için meşru faturalar olarak görünen kültürel olarak uyarlanmış e -postaları kullanarak Meksika, Guatemala, Kolombiya, Peru, Şili ve Arjantin gibi ülkelerdeki kullanıcılara odaklanıyor.
.png
)
Gelişmiş kimlik avı kampanyası
Saldırı, genellikle “factura adantı” (ekli fatura) gibi konu satırlarına bir PDF faturası eklediğini iddia eden İspanyolca yazılmış bir kimlik avı e -postasıyla başlar.
Bu e-postalar, alıcıları baz64 kodlu verilere sahip kötü amaçlı bir HTML dosyası içeren bir fermuar eki açmaya çeker.
Kod çözüldükten sonra, HTML, bir HTA dosyasını barındıran “Adjuntos_23042025.zip” adlı bir zip dosyası olan ikincil bir yükü indiren uzak bir URL ortaya çıkar.
Fortinet raporuna göre, bu dosya tarayıcı yeniden yönlendirme hileleri kullanır ve VBScript, Autoit ve PowerShell’i içeren karmaşık bir enfeksiyon zinciri başlatan daha fazla kötü amaçlı komut dosyası yükler.
Uzak sunucularda barındırılan VBScript, statik algılamadan kaçmak için özel dize kod çözme, antivirüs yazılımı (örn. AVAST) ve sanal makineler için çevre kontrolleri gibi görevleri gerçekleştirerek, başlangıç klasörlerindeki kısayollar yoluyla kalıcılık mekanizmaları oluşturur.
Ayrıca, IP adresleri ve kullanıcı adları gibi sistem bilgilerini toplayarak ve komut ve kontrol (C2) sunucularına göndererek veri eksfiltrasyonunu düzenler.
Çok aşamalı saldırı zinciri
Müteakip yükler, giriş bilgilerini yakalamak için sahte açılır pencereler dağıtarken, Google Chrome, Microsoft Edge ve Opera gibi uygulamalardan tarayıcı verilerinin hırsızlığını sağlayan sert kodlanmış bir anahtarla kötü niyetli bir DLL’yi şifresini çözen bir otomatik komut dosyası içerir.
Eşzamanlı olarak, PowerShell komut dosyaları, e -posta iletişim listelerini hasat etmek, belirli alanları (örn. Gmail, hotmail) filtrelemek ve yeni kurbanlara kötü niyetli ekleri olan özel kimlik avı e -postaları göndermek için Outlook Com Otomasyonunu kullanır.
Bu kendini tanıtan mekanizma, izleri silmek için temizleme rutinleri ile birleştiğinde, Horabot’u meşru pencereler ve görünüm davranışları ile sorunsuz bir şekilde karıştırırken tespit etmek için özellikle gizli ve zorlayıcı hale getirir.
Fordiguard Labs, bu tür kimlik avı saldırılarının artan sofistike olmasını vurgular, kuruluşları sağlam e -posta filtreleme uygulamaya, anormal dosya etkinliğini izlemeye ve çalışanları kimlik avı girişimlerini tanımaya yönlendirmeye çağırır.
Fortinet’in Fortigate ve FortiMail dahil güvenlik çözümleri, bu kötü amaçlı yazılımları HTML/Phishing.683a! TR ve Autoit/Agent.ha! TR gibi imzalar altında tespit eder ve engeller, güncellenmiş sistemlere sahip müşterilere koruma sağlar.
Ayrıca, kullanıcı farkındalığını artırmak için Fortinet’ten ücretsiz siber güvenlik eğitimi önerilir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| İhtisas | T4[.]İletişim[.]mağaza |
| İhtisas | labodeguitaup[.]uzay |
| Ivır zıvır | 209[.]74[.]71[.]168 |
| Ivır zıvır | 93[.]127[.]200[.]211 |
| SHA256 (senaryo) | 523d7e9005b2e431068130989caf4a96062a029b50a545d37a2b88e6d04f83d |
| SHA256 (Autoit) | 25be0643204fc738db3af84b200d362c3287b30c7491b666c4fe821a8c6b4 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!