Μια προηγουμένως άγνωστη καμπάνια που περιλαμβάνει το κακόβουλο λογισμικό botnet Hotabot έχει στοχεύσει ισπανόφωνους χρήστες στη Λατινική Αμερική τουλάχιστον από τον Νοέμβριο του 2020, μολύνοντάς τους με ένα τραπεζικό trojan και ένα εργαλείο ανεπιθύμητης αλληλογραφίας.
Το κακόβουλο λογισμικό επιτρέπει στους χειριστές να αναλαμβάνουν τον έλεγχο των λογαριασμών email του θύματος Gmail, Outlook, Hotmail ή Yahoo, να κλέβουν δεδομένα email και κωδικούς 2FA που φτάνουν στα εισερχόμενα και να στέλνουν μηνύματα ηλεκτρονικού ψαρέματος από τους παραβιασμένους λογαριασμούς.
Η νέα επιχείρηση Horabot ανακαλύφθηκε από αναλυτές της Cisco Talos, οι οποίοι αναφέρουν ότι ο παράγοντας απειλής πίσω από αυτήν πιθανότατα εδρεύει στη Βραζιλία.
Ξεκινά με το phishing
Η αλυσίδα μόλυνσης πολλών σταδίων ξεκινά με ένα email ηλεκτρονικού ψαρέματος με θέμα το φόρο που αποστέλλεται στον στόχο, με ένα συνημμένο HTML που υποτίθεται ότι είναι μια απόδειξη πληρωμής.
Ανοίγοντας το HTML ξεκινά μια αλυσίδα ανακατεύθυνσης URL που προσγειώνει το θύμα σε μια σελίδα HTML που φιλοξενείται σε μια παρουσία AWS που ελέγχεται από τους εισβολείς.
Το θύμα κάνει κλικ στον υπερσύνδεσμο στη σελίδα και κατεβάζει ένα αρχείο RAR που περιέχει ένα αρχείο δέσμης με επέκταση CMD, το οποίο κατεβάζει ένα σενάριο PowerShell που ανακτά trojan DLL και ένα σύνολο νόμιμων εκτελέσιμων αρχείων από τον διακομιστή C2.
Αυτοί οι trojans εκτελούνται για να φέρουν τα δύο τελευταία ωφέλιμα φορτία από διαφορετικό διακομιστή C2. Το ένα είναι ένα σενάριο λήψης PowerShell και το άλλο είναι το δυαδικό Horabot.
Τραπεζικό trojan
Ένα από τα αρχεία DLL στο ληφθέν ZIP, το “jli.dll”, το οποίο φορτώνεται πλευρικά από το εκτελέσιμο αρχείο “kinit.exe”, είναι ένας τραπεζικός trojan γραμμένος στους Δελφούς.
Στοχεύει πληροφορίες συστήματος (γλώσσα, μέγεθος δίσκου, λογισμικό προστασίας από ιούς, όνομα κεντρικού υπολογιστή, έκδοση λειτουργικού συστήματος, διεύθυνση IP), διαπιστευτήρια χρήστη και δεδομένα δραστηριότητας.
Επιπλέον, το trojan προσφέρει επίσης στους χειριστές του δυνατότητες απομακρυσμένης πρόσβασης, όπως η εκτέλεση ενεργειών αρχείων και μπορεί επίσης να πραγματοποιήσει καταγραφή πλήκτρων, λήψη στιγμιότυπου οθόνης και παρακολούθηση συμβάντων με το ποντίκι.
Όταν το θύμα ανοίγει μια εφαρμογή, ο trojan επικαλύπτει ένα ψεύτικο παράθυρο πάνω του για να ξεγελάσει τα θύματα να εισάγουν ευαίσθητα δεδομένα όπως διαπιστευτήρια τραπεζικών λογαριασμών στο διαδίκτυο ή κωδικούς μίας χρήσης.
Όλες οι πληροφορίες που συλλέγονται από τον υπολογιστή του θύματος αποστέλλονται στον διακομιστή εντολών και ελέγχου του εισβολέα μέσω αιτημάτων HTTP POST.
Η Cisco εξηγεί ότι το trojan έχει αρκετούς ενσωματωμένους μηχανισμούς αντι-ανάλυσης για να αποτρέψει την εκτέλεση του σε sandboxes ή δίπλα σε προγράμματα εντοπισμού σφαλμάτων.
Το αρχείο ZIP περιέχει επίσης ένα κρυπτογραφημένο εργαλείο ανεπιθύμητης αλληλογραφίας DLL με το όνομα “_upyqta2_J.mdat”, που έχει σχεδιαστεί για την κλοπή διαπιστευτηρίων για δημοφιλείς υπηρεσίες webmail όπως το Gmail, το Hotmail και το Yahoo.
Μόλις παραβιαστούν τα διαπιστευτήρια, το εργαλείο αναλαμβάνει τον λογαριασμό email του θύματος, δημιουργεί ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου και τα στέλνει στις επαφές που βρίσκονται στο γραμματοκιβώτιο του θύματος, προάγοντας τη μόλυνση κάπως τυχαία.
Αυτό το εργαλείο διαθέτει επίσης δυνατότητες καταγραφής πλήκτρων, λήψης στιγμιότυπου οθόνης και υποκλοπής ή παρακολούθησης συμβάντων του ποντικιού, που λειτουργικά επικαλύπτονται με τον τραπεζικό trojan, πιθανώς για πλεονασμό.
Horabot
Το κύριο ωφέλιμο φορτίο που πέφτει στο σύστημα του θύματος είναι το Horabot, ένα τεκμηριωμένο botnet που βασίζεται στο PowerShell που στοχεύει τα γραμματοκιβώτια του Outlook του θύματος για να κλέψει επαφές και να διαδώσει μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα συνημμένα HTML.
Το κακόβουλο λογισμικό εκκινεί την εφαρμογή Outlook για επιτραπέζιους υπολογιστές του θύματος για να ελέγξει εξονυχιστικά το βιβλίο διευθύνσεων και τις επαφές από τα περιεχόμενα του γραμματοκιβωτίου.
“Μετά την προετοιμασία, το [Horabot] Το σενάριο αναζητά τα αρχεία δεδομένων του Outlook από το φάκελο δεδομένων της εφαρμογής Outlook του προφίλ θύματος.” εξηγεί η Cisco στην έκθεση.
“Αριθμεί όλους τους φακέλους και τα μηνύματα ηλεκτρονικού ταχυδρομείου στο αρχείο δεδομένων του Outlook του θύματος και εξάγει τις διευθύνσεις email από τα πεδία αποστολέα, παραλήπτες, CC και BCC των μηνυμάτων ηλεκτρονικού ταχυδρομείου.”
Όλες οι εξαγόμενες διευθύνσεις email εγγράφονται σε ένα αρχείο “.Outlook” και στη συνέχεια κωδικοποιούνται και εξάγονται στον διακομιστή C2.
Τέλος, το κακόβουλο λογισμικό δημιουργεί ένα αρχείο HTML τοπικά, το γεμίζει με περιεχόμενο που έχει αντιγραφεί από έναν εξωτερικό πόρο και στέλνει μηνύματα ηλεκτρονικού ψαρέματος σε όλες τις εξαγόμενες διευθύνσεις email ξεχωριστά.
Όταν ολοκληρωθεί η διαδικασία διανομής email ηλεκτρονικού ψαρέματος, τα αρχεία και οι φάκελοι που δημιουργούνται τοπικά διαγράφονται για να διαγραφούν τυχόν ίχνη.
Αν και αυτή η καμπάνια Horabot στοχεύει κυρίως χρήστες στο Μεξικό, την Ουρουγουάη, τη Βραζιλία, τη Βενεζουέλα, την Αργεντινή, τη Γουατεμάλα και τον Παναμά, οι ίδιοι ή συνεργαζόμενοι φορείς απειλών θα μπορούσαν να επεκτείνουν την εμβέλειά τους σε άλλες αγορές ανά πάσα στιγμή, χρησιμοποιώντας θέματα phishing γραμμένα στα αγγλικά.
