Latin Amerika’daki İspanyolca konuşan kullanıcılar, yeni bir botnet kötü amaçlı yazılımının alıcı tarafındalar. Horabot en azından Kasım 2020’den beri.
Cisco Talos araştırmacısı Chetan Raghuprasad, “Horabot, tehdit aktörünün kurbanın Outlook posta kutusunu kontrol etmesine, kişilerin e-posta adreslerini çalmasına ve kurbanın posta kutusundaki tüm adreslere kötü amaçlı HTML ekleri içeren kimlik avı e-postaları göndermesine olanak tanıyor” dedi.
Botnet programı aynı zamanda Windows tabanlı bir finansal truva atı ve çevrimiçi bankacılık kimlik bilgilerini toplamanın yanı sıra Gmail, Outlook ve Yahoo! istenmeyen e-postaları patlatmak için web posta hesapları.
Siber güvenlik firması, enfeksiyonların çoğunun Meksika’da bulunduğunu ve Uruguay, Brezilya, Venezuela, Arjantin, Guatemala ve Panama’da sınırlı sayıda kurban tespit edildiğini söyledi. Kampanyanın arkasındaki tehdit aktörünün Brezilya’da olduğuna inanılıyor.
Bölgedeki diğer sektörlerin de etkilenebileceğinden şüphelenilse de, devam eden kampanyanın hedeflenen kullanıcıları öncelikle muhasebe, inşaat ve mühendislik, toptan dağıtım ve yatırım sektörlerini kapsamaktadır.
Saldırılar, alıcıları bir RAR arşivi içeren bir bağlantıyı gömen bir HTML ekini açmaya ikna eden vergi temalı yemler içeren kimlik avı e-postalarıyla başlar.
Dosyanın içeriğinin açılması, uzak bir sunucudan ana yükleri içeren bir ZIP dosyasının alınmasından ve makinenin yeniden başlatılmasından sorumlu olan bir PowerShell indirme betiğinin yürütülmesiyle sonuçlanır.
Sistemin yeniden başlatılması aynı zamanda bankacılık truva atı ve spam aracı için bir fırlatma rampası işlevi görerek tehdit aktörünün verileri çalmasına, tuş vuruşlarını günlüğe kaydetmesine, ekran görüntüleri yakalamasına ve kurbanın kişilerine ek kimlik avı e-postaları yaymasına olanak tanır.
Raghuprasad, “Bu kampanya, bir kimlik avı e-postasıyla başlayan ve bir PowerShell indirici betiğinin yürütülmesi ve yasal yürütülebilir dosyalara yandan yükleme yoluyla yük dağıtımına yol açan çok aşamalı bir saldırı zincirini içeriyor.”
Bankacılık truva atı, Delphi programlama dilinde yazılmış bir 32-bit Windows DLL’dir ve Mekotio ve Casbaneiro gibi Brezilya’daki diğer kötü amaçlı yazılım aileleriyle örtüşür.
Horabot ise, PowerShell’de yazılmış ve bulaşmayı yaymak için kurbanın posta kutusundaki tüm e-posta adreslerine kimlik avı e-postaları gönderebilen bir Outlook kimlik avı botnet programıdır. Ayrıca, tehdit aktörünün kimlik avı altyapısının açığa çıkmasını en aza indirmek için kasıtlı bir girişimdir.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Açıklama, SentinelOne’ın bilinmeyen bir Brezilyalı tehdit aktörünü 2021’den bu yana bilgi çalan kötü amaçlı yazılımlarla 30’dan fazla Portekiz finans kurumunu hedefleyen uzun süredir devam eden bir kampanyayla ilişkilendirmesinden bir hafta sonra geldi.
Ayrıca, Brezilya PIX ödeme platformu üzerinden sahte para transferleri yapmak için işletim sisteminin erişilebilirlik hizmetlerini kötüye kullanan PixBankBot adlı yeni bir Android bankacılık truva atının keşfini takip ediyor.
PixBankBot ayrıca, son aylarda tespit edilen BrasDex, PixPirate ve GoatRAT benzeri yeteneklere sahip, özellikle Brezilya bankalarına odaklanan en son kötü amaçlı yazılım örneğidir.
Bilakis, gelişmeler Brezilya’dan kaynaklanan daha geniş bir finansal amaçlı bilgisayar korsanlığı çabalarının bir başka yinelemesini temsil ediyor ve bu da kullanıcıların bu tür tehditlerin tuzağına düşmemek için tetikte olmalarını çok önemli hale getiriyor.