Исследователи кибербезопасности Cisco Talos обнаружили новую хакерскую кампанию, которая предположительно нацелена на конфиденциальные данные, учетные данные и почтовые ящики жертв.
Horabot описывается как ботнет, который действует уже почти два с половиной года (впервые обнаружен в ноябре 2020 года). В то время перед ним в основном стояла задача распространения банковского троянца и вредоносного спама.
Его операторы, похоже, базируются в Бразилии, а его жертвами являются испаноязычные пользователи, в основном проживающие в Мексике, Уругвае, Венесуэле, Бразилии, Панаме, Аргентине и Гватемале.
Ботнет Хоработ
Жертв можно найти в самых разных отраслях, от инвестиционных фирм до оптовой торговли, от строительства до машиностроения и бухгалтерского учета.
Атака начинается с сообщения электронной почты, содержащего вредоносное HTML-вложение. В конечном итоге жертве предлагается скачать RAR-архив, содержащий банковского троянца.
Вредоносное ПО может делать многое: красть учетные данные, регистрировать нажатия клавиш и получать системную информацию. Создавая невидимое наложение, он также может извлекать одноразовые коды безопасности из приложений многофакторной аутентификации (MFA), по существу обходя этот важный уровень безопасности.
Кроме того, троянец может захватывать учетные записи электронной почты жертв, включая Outlook, Gmail и Yahoo. Злоумышленники затем будут использовать этот доступ для рассылки спама всем контактам, хранящимся в папке «Входящие», что делает цепочку распространения и заражения довольно случайной и нецелевой. По словам исследователей, в некоторой степени троянец также работает как инструмент управления удаленным рабочим столом, поскольку он может создавать и удалять каталоги и файлы на конечной точке жертвы.
Наконец, инструмент имеет несколько функций запутывания, которые не позволяют ему работать в среде песочницы или вместе с инструментом отладки, что немного затрудняет обнаружение и последующий анализ.
Выше: Пищит компьютер
