Cisco Talos in un recente rapporto ha parlato di un attore della minaccia che distribuirebbe un programma botnet precedentemente non identificato e battezzato dagli stessi ricercatori con il nome “Horabot“. Tale impianto botnet starebbe diffondendo con una campagna in corso almeno da novembre 2020, un trojan bancario e uno strumento di spam sulle macchine colpite. In particolare Horabot consentirebbe di controllare la casella di posta di Outlook, esfiltrare gli indirizzi e-mail dei contatti e inviare e-mail di phishing con allegati HTML dannosi a tutti gli indirizzi presenti nella casella di posta della vittima:
- Il trojan bancario può raccogliere le credenziali di accesso della vittima per vari account online, informazioni sul sistema operativo e sequenze di tasti. Ruba anche codici di sicurezza monouso dalle applicazioni bancarie online della vittima.
- Lo strumento spam compromette gli account webmail di Yahoo, Gmail e Outlook, consentendo all’autore della minaccia di assumere il controllo di tali caselle di posta, esfiltrare gli indirizzi e-mail dei propri contatti e inviare e-mail di spam.
La catena d’infezione
La catena di infezione in più fasi inizierebbe con un’e-mail di phishing a tema fiscale con un allegato HTML spacciato per una ricevuta di pagamento.
La pagina HTML proporrebbe alla vittima un collegamento ipertestuale ad una un’istanza AWS, controllata in realtà dall’attaccante, che scarica un archivio RAR contenente un file batch con estensione CMD. La sua esecuzione condurrebbe con una serie di step intermedi al rilascio finale dei payload: un trojan bancario (jli.dll) , uno strumento di spam (_upyqta2_J.mdat.a1) e Horabot (hxxp[://]tributaria[.]website/esp/12 /151222/au/au.).
“Il trojan bancario prende di mira le informazioni sensibili della vittima, come le credenziali di accesso e i codici di sicurezza delle transazioni finanziarie, e registra le sequenze di tasti e manipola i dati degli appunti della macchina della vittima. Il trojan ha anche capacità anti-analisi e anti-rilevamento per eludere la sandbox e gli ambienti virtuali. Lo strumento di spam e Horabot appena identificato sono impiegati nell’attacco per compromettere le caselle di posta della vittima, rubare gli indirizzi e-mail dei loro contatti e inviare e-mail di phishing ai contatti della vittima.”, spiegano i ricercatori di Cisco Talos.
Considerazioni finali
Sebbene l’autore della minaccia in base alle analisi, potrebbe trovarsi in Brasile e prenderebbe di mira gli utenti di lingua spagnola in America Latina, la minaccia potrebbe espandersi in qualsiasi momento sulla rete Internet, rendendo fondamentale che tutti gli utenti a livello globale rimangano vigili per evitare eventuali coinvolgimenti.