Usuários de língua espanhola na América Latina têm sido alvo de um novo malware de botnet chamado Horabot, pelo menos desde novembro de 2020.
"Horabot permite que o ator de ameaças controle a caixa de correio do Outlook da vítima, exfiltre os endereços de e-mail dos contatos e envie e-mails de phishing com anexos HTML maliciosos para todos os endereços na caixa de correio da vítima", disse o pesquisador da Cisco Talos, Chetan Raghuprasad.
O programa da botnet também entrega um trojan financeiro baseado no Windows e uma ferramenta de spam para colher credenciais de bancos on-line, bem como comprometer contas de webmail do Gmail, Outlook e Yahoo! para enviar e-mails de spam.
A empresa de segurança cibernética disse que a maioria das infecções está localizada no México, com número limitado de vítimas identificadas no Uruguai, Brasil, Venezuela, Argentina, Guatemala e Panamá.
O ator de ameaças por trás da campanha é acredita-se estar no Brasil.
Os usuários-alvo da campanha em andamento são principalmente das áreas de contabilidade, construção e engenharia, distribuição atacadista e investimento, embora se suspeite que outros setores na região também possam ser afetados.
Os ataques começam com e-mails de phishing com iscas temáticas de impostos que atraem os destinatários para abrir um anexo HTML, que, por sua vez, incorpora um link contendo um arquivo RAR.
A abertura do conteúdo do arquivo resulta na execução de um script de download do PowerShell que é responsável por recuperar um arquivo ZIP contendo os principais payloads de um servidor remoto e reiniciar a máquina.
A reinicialização do sistema também serve como uma plataforma de lançamento para o trojan bancário e a ferramenta de spam, permitindo que o ator de ameaças roube dados, registre pressionamentos de teclas, capture capturas de tela e dissemine e-mails de phishing adicionais para os contatos da vítima.
"Esta campanha envolve uma cadeia de ataque de várias etapas que começa com um e-mail de phishing e leva à entrega de payload por meio da execução de um script de download do PowerShell e da sideload para executáveis legítimos", disse Raghuprasad.
O trojan bancário é um DLL do Windows de 32 bits escrito na linguagem de programação Delphi e compartilha sobreposições com outras famílias de malware brasileiras como Mekotio e Casbaneiro.
Horabot, por sua vez, é um programa de botnet de phishing do Outlook escrito em PowerShell que é capaz de enviar e-mails de phishing para todos os endereços de e-mail na caixa de correio da vítima para propagar a infecção.
Também é uma tentativa deliberada de minimizar a infraestrutura de phishing do ator de ameaças de ser exposta.
A divulgação chega uma semana depois que a SentinelOne atribuiu a um ator de ameaças brasileiro desconhecido uma campanha em andamento visando mais de 30 instituições financeiras portuguesas com malware de roubo de informações desde 2021.
Também segue a descoberta de um novo trojan bancário para Android chamado PixBankBot que abusa dos serviços de acessibilidade do sistema operacional para realizar transferências de dinheiro fraudulentas pela plataforma de pagamentos PIX do Brasil.
PixBankBot é também o mais recente exemplo de malware que se concentra especificamente em bancos brasileiros, apresentando capacidades semelhantes a BrasDex, PixPirate e GoatRAT que foram observadas nos últimos meses.
Seja como for, os desenvolvimentos representam mais uma iteração de um grupo mais amplo de esforços de hacking com motivação financeira que emanam do Brasil, tornando crucial que os usuários permaneçam vigilantes para evitar cair em tais ameaças.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...