02 juin 2023Ravie LakshmananBotnet / Malware

Les utilisateurs hispanophones d’Amérique latine ont été victimes d’un nouveau malware de botnet baptisé Horabot depuis au moins novembre 2020.

« Horabot permet à l’acteur de la menace de contrôler la boîte aux lettres Outlook de la victime, d’exfiltrer les adresses e-mail des contacts et d’envoyer des e-mails de phishing avec des pièces jointes HTML malveillantes à toutes les adresses de la boîte aux lettres de la victime », a déclaré Chetan Raghuprasad, chercheur chez Cisco Talos. a dit.

Le programme de botnet fournit également un cheval de Troie financier basé sur Windows et un outil anti-spam pour récolter les informations d’identification bancaires en ligne et compromettre Gmail, Outlook et Yahoo! comptes de messagerie Web pour envoyer des spams.

La société de cybersécurité a déclaré que la majorité des infections se trouvaient au Mexique, avec des victimes limitées identifiées en Uruguay, au Brésil, au Venezuela, en Argentine, au Guatemala et au Panama. On pense que l’acteur menaçant derrière la campagne se trouve au Brésil.

Les utilisateurs ciblés de la campagne en cours couvrent principalement les secteurs de la comptabilité, de la construction et de l’ingénierie, de la distribution en gros et de l’investissement, bien que l’on soupçonne que d’autres secteurs de la région pourraient également être touchés.

Les attaques commencent par des e-mails de phishing contenant des leurres à thème fiscal qui incitent les destinataires à ouvrir une pièce jointe HTML, qui, à son tour, intègre un lien contenant une archive RAR.

L’ouverture du contenu du fichier entraîne l’exécution d’un script de téléchargement PowerShell chargé de récupérer un fichier ZIP contenant les principales charges utiles à partir d’un serveur distant et de redémarrer la machine.

Le redémarrage du système sert également de rampe de lancement pour le cheval de Troie bancaire et l’outil de spam, permettant à l’auteur de la menace de voler des données, d’enregistrer des frappes au clavier, de capturer des captures d’écran et de diffuser des e-mails de phishing supplémentaires aux contacts de la victime.

« Cette campagne implique une chaîne d’attaque en plusieurs étapes qui commence par un e-mail de phishing et conduit à la livraison de la charge utile via l’exécution d’un script de téléchargement PowerShell et le chargement latéral vers des exécutables légitimes », a déclaré Raghuprasad.

Le cheval de Troie bancaire est une DLL Windows 32 bits écrite dans le langage de programmation Delphi et partage des chevauchements avec d’autres familles de logiciels malveillants brésiliens comme Mekotio et Casbaneiro.

Horabot, pour sa part, est un programme de botnet de phishing Outlook écrit en PowerShell qui est capable d’envoyer des e-mails de phishing à toutes les adresses e-mail de la boîte aux lettres de la victime pour propager l’infection. Il s’agit également d’une tentative délibérée de minimiser l’exposition de l’infrastructure de phishing de l’auteur de la menace.

La divulgation arrive une semaine après que SentinelOne a attribué un acteur de menace brésilien inconnu à une campagne de longue durée ciblant plus de 30 institutions financières portugaises avec des logiciels malveillants voleurs d’informations depuis 2021.

Cela fait également suite à la découverte d’un nouveau cheval de Troie bancaire Android surnommé PixBankBot qui abuse des services d’accessibilité du système d’exploitation pour effectuer des transferts d’argent frauduleux sur la plate-forme de paiement brésilienne PIX.

PixBankBot est également le dernier exemple de malware qui se concentre spécifiquement sur les banques brésiliennes, avec des fonctionnalités similaires à BrasDex, PixPirate et GoatRAT qui ont été repérées ces derniers mois.

Au contraire, les développements représentent une nouvelle itération d’un groupe plus large d’efforts de piratage à motivation financière émanant du Brésil, ce qui rend crucial que les utilisateurs restent vigilants pour éviter d’être la proie de telles menaces.