Kasım 2020’den bu yana, ‘Horabot’ botnet kötü amaçlı yazılımını kullanan gizli bir kampanya, özellikle Latin Amerika’daki İspanyolca konuşan kullanıcıları hedef aldı ve onlara bir bankacılık truva atı ve istenmeyen e-posta aracı bulaştırdı ve bunların tümü fark edilmeden çalışıyor.
Tehdit aktörleri, tüm önemli ve gizli e-posta verilerini çalmak için kötü amaçlı yazılımdan yararlanarak kurbanın e-posta hesaplarının (Gmail, Outlook, Hotmail veya Yahoo) kontrolünü ele geçirir.
.png
)
Sadece bu da değil, tehdit aktörleri bile güvenliği ihlal edilmiş bu e-posta hesaplarını diğer kurbanlara kimlik avı e-postaları göndermek için kullanıyor.
Cisco Talos’taki siber güvenlik araştırmacıları kısa bir süre önce bu yeni Horabot operasyonunu ortaya çıkardı ve bundan sorumlu olan tehdit aktörünün köklerinin Brezilya’da olduğuna inanıldığını ortaya çıkardı.
Bununla birlikte, enfeksiyonların çoğu aşağıdaki ülkelerde bulunur: –
- Meksika
- Uruguay
- Brezilya
- Venezuela
- Arjantin
- Guatemala
- Panama
Horabot Kötü Amaçlı Yazılım Bulaşma Akışı
Bulaşma zinciri, vergiyle ilgili bir temaya sahip bir kimlik avı e-postası tarafından başlatılan ve hedefin bir ödeme makbuzu gibi görünen bir HTML eki aldığı çok aşamalı bir süreçle başlar.
HTML açıldığında, bir dizi URL yeniden yönlendirmesini tetikler ve sonunda kurbanı bir HTML sayfasına yönlendirir. Aynı zamanda bu HTML sayfası, tehdit aktörünün kontrolü altındaki bir AWS örneğinde barındırılmaktadır.
Şüphelenmeyen kurban, CMD uzantılı gömülü bir toplu iş dosyası taşıyan bir RAR arşivini indirirken, tehdit aktörü tarafından oluşturulan tıklamanın ardından tuzağa düşer.
Toplu iş dosyası, C2’den yetkili yürütülebilir dosyalar ve truva atı DLL’lerinden oluşan bir koleksiyon alan bir PowerShell betiğinin indirilmesini yönlendirir.
İşlemlerini hassas bir şekilde yürüten bu truva atları, son iki yükü alarak ayrı bir C2 sunucusuna bağlanır.
Bu yüklerden biri bir PowerShell indirme betiği, diğeri ise Horabot ikili dosyasıdır.
Kötü amaçlı PowerShell indirici komut dosyası, yüklerin alınmasından sorumlu bir dizi işlem başlatarak görevi üstlenir ve yalnızca kurbanın sistemini de zorla yeniden başlatmakla kalmaz.
Hedefler Oturum Açma Kimlik Bilgileri ve Finansal Bilgiler
İndirilen ZIP arşivinden çıkarılan DLL dosyaları dizisinde gizlenen kötü şöhretli “jli.dll”, “kinit.exe” yürütülebilir dosyası aracılığıyla kendisini gizlice yükleyerek Delphi tabanlı bir bankacılık truva atı olarak gerçek kimliğini ortaya çıkarır.
Aşağıdaki verileri hedeflerken: –
- Sistem dili
- disk boyutu
- Antivirüs yazılımı
- Ana bilgisayar adı
- OS sürümü
- IP adresi
- Kullanıcı kimlik bilgileri
- Etkinlik verileri
Ek olarak, truva atı, operatörlerine uzaktan erişim işlevleri sağlayarak, onlara dosya eylemlerini yürütme, keylogging etkinliklerinde bulunma, ekran görüntüleri yakalama ve fare olaylarını izleme gücü vererek erişimini genişletir.
Truva atı, her uygulama başlatıldığında, kurbanları yanıltarak hassas verileri girmeleri için yanıltıcı bir pencereyi ustalıkla kaplayan stratejik bir numara yürütür.
Saldırgan, kurbanın bilgisayarından toplanan tüm bilgileri komuta ve kontrol sunucusuna iletmek için gizlice HTTP POST isteklerini kullanır ve gizli ve verimli bir veri aktarımı sağlar.
ZIP arşivine şifreli bir spam aracı DLL de dahildir ve araç “_upyqta2_J.mdat” olarak adlandırılır. Bu araç, saldırgana aşağıdakiler gibi popüler e-posta platformlarından kimlik bilgilerini çalma yeteneği sağlar: –
Belirlenen rolü dahilinde çalışan Horabot, Outlook kimlik avı konusunda uzmanlaşmış PowerShell tabanlı bir botnet programı olarak karşımıza çıkıyor.
Bu kötü niyetli varlık, kurbanın posta kutusundaki her e-posta adresine kimlik avı e-postaları göndererek bulaşmayı artırabilir.
Kimlik avı e-postası dağıtım sürecini tamamladıktan sonra, yerel olarak oluşturulan tüm dosya ve klasörler silinir ve hiçbir iz kalmaz.
İş E-postanızı Hedefleyen Gelişmiş E-posta Tehditlerini Durdurun – Yapay Zeka Destekli E-posta Güvenliğini Deneyin