Chiến dịch Horabot mới phát tán mã độc và chiếm quyền kiểm soát tài khoản email

Horabot cho phép đối tượng tấn công kiểm soát hộp thư Outlook của nạn nhân, lọc các địa chỉ email thường liên hệ và gửi email phishing đính kèm các HTML độc hại tới các địa chỉ email trong mailbox. Đồng thời, mã độc này còn chứa banking trojan trên Windows và một công cụ spam nữa nhằm mục đích khai thác các thông tin ngân hàng trực tuyến, các tài khoản email thuộc Gmail, Outlook hay Yahoo! để gửi email spam đến các người dùng.

Theo các nhà nghiên cứu, phần lớn người dùng bị nhiễm mã độc là người dân tại Mexico, một lượng nhỏ tại Uruguay, Brazil, Venezuela, Argentina, Guatemala và Panama. Các đối tượng thực hiện chiến dịch này được cho rằng có liên quan đến Brazil.

Các đối tượng bị chiến dịch này nhắm đến thuộc các lĩnh vực như kế toán, xây dựng và kỹ thuật, nhà phân phối và nhóm đầu tư, ngoài ra, một số lĩnh vực khác trong khu vực cũng có thể bị ảnh hưởng.

Quá trình tấn công bắt đầu bằng các email phishing chứa “mồi nhử” có nội dung liên quan đến thuế nhằm dụ nạn nhân mở các tệp đính kèm HTML mà trong đó có chứa một file RAR. Khi nạn nhân mở tệp đính kèm, script PowerShell sẽ được thực thi và tải xuống một file ZIP chứa các payload từ một máy chủ điều khiển và khởi động lại thiết bị của nạn nhân.

Việc thiết bị bị khởi động lại đóng vai trò như một bệ phóng cho banking trojan và công cụ spam, qua đó cho phép đối tượng tấn công đánh cắp các dữ liệu, ghi lại log của việc gõ phím, chụp ảnh màn hình và phân tán các email phishing khác tới các mối liên hệ của nạn nhân. Banking trojan này là một Windows DLL 32-bit được viết bằng ngôn ngữ Delphi và có điểm chung với các nhóm mã độc khác của Brazil như Mekotio và Casbaneiro.

Horabot là một chương trình Botnet phishing trên Outlook được viết bằng Powershell với khả năng gửi đi các email phishing tới các địa chỉ email có trong mailbox của nạn nhân để phát tán. Chiến dịch tấn công diễn ra kể từ năm 2021 nhắm vào hơn 30 tổ chức tài chính của Bồ Đào Nha với các mã độc đánh cắp thông tin.

Việc phát hiện một Banking Trojan Android mới có tên PixBankBot cho phép đối tượng tấn công tận dụng các dịch vụ trợ năng của OS để thực hiện các tác vụ chuyển tiền lừa đảo qua nền tảng thanh toán PIX của Brazil.

PixBankBot là mã độc mới nhắm vào các ngân hàng của Brazil, sở hữu các tính năng tương tự như BrasDex, PixPirate và GoatRat đã được phát hiện trong những tháng vừa qua.