Horabot マルウェア

ラテンアメリカのスペイン語を話すユーザーが、Horabot として知られる新たに発見されたボットネット マルウェアの標的になっています。この攻撃キャンペーンは、少なくとも 2020 年 11 月から活動していたと考えられています。この脅迫プログラムにより、攻撃者は被害者の Outlook メールボックスを操作し、連絡先から電子メール アドレスを抽出し、破損した HTML 添付ファイルを含むフィッシングメールを内部のすべてのアドレスに送信することができます。侵害されたメールボックス。

これらの機能に加えて、Horabot マルウェアは Windows ベースの金融トロイの木馬とスパム ツールを展開します。これらのコンポーネントは、機密のオンライン バンキング認証情報を収集し、Gmail、Outlook、Yahoo! などの一般的な Web メール サービスを侵害するように設計されています。これらの侵害されたアカウントにアクセスすると、マルウェア オペレータは広範囲の受信者にスパム メールを大量に送り出すことができます。

サイバー犯罪者が Horabot マルウェアでさまざまな業界を狙う

サイバーセキュリティ会社によると、メキシコではホラボのキャンペーンに関連した感染が多数検出されたという。同時に、ウルグアイ、ブラジル、ベネズエラ、アルゼンチン、グアテマラ、パナマなどの国々では、確認されている犠牲者は減少している。このキャンペーンを実行した攻撃者はブラジルに拠点を置いていると考えられています。

現在進行中のキャンペーンは、主に会計、建設・エンジニアリング、卸売流通、投資分野に携わるユーザーを対象としています。しかし、この地域の他の産業もこの脅威の影響を受ける可能性があると考えられています。

Horabot マルウェアは多段階の攻撃チェーンを通じて配信される

この攻撃キャンペーンは、税関連のテーマを使用して受信者を誘い、HTML 添付ファイルを開かせるフィッシングメールから始まります。この添付ファイル内には、RAR アーカイブへのリンクが埋め込まれています。

ファイルを開くと、PowerShell ダウンローダー スクリプトが実行され、プライマリ ペイロードを含む ZIP ファイルをリモート サーバーから取得します。さらに、このプロセス中にマシンが再起動されます。

システムの再起動は、バンキング型トロイの木馬とスパム ツールの起動ポイントとして機能し、攻撃者がデータを収集し、キーストロークを記録し、スクリーンショットをキャプチャし、被害者の連絡先にさらなるフィッシングメールを配布できるようにします。

このキャンペーンで使用されたバンキング型トロイの木馬は、Delphi プログラミング言語でコーディングされた 32 ビット Windows DLL です。これは、 Mekotioや Casbaneiro など、他のブラジルのマルウェア ファミリとの類似性を示します。

一方、Horabot は Outlook 用に設計されたフィッシング ボットネット プログラムです。これは PowerShell で書かれており、被害者のメールボックスにあるすべての電子メール アドレスにフィッシング電子メールを送信し、それによって感染を拡大する機能を備えています。この戦術は、フィッシング インフラストラクチャが公開されるリスクを軽減するために、攻撃者が採用する意図的な戦略です。