Horabot Botnet IOCs

botnet IOC
Опубликовано

Компания Cisco Talos обнаружила угрожающего субъекта, развернувшего ранее неизвестную ботнет-программу, которую Talos называет "Horabot" и которая доставляет известный банковский троян и спам на компьютеры жертв в рамках кампании, продолжающейся по меньшей мере с ноября 2020 года. Угрожающий субъект, по-видимому, нацелен на испаноязычных пользователей в Северной и Южной Америке и, согласно анализу Talos, может находиться в Бразилии.


Horabot позволяет агенту угроз контролировать почтовый ящик жертвы в Outlook, извлекать адреса электронной почты контактов и отправлять фишинговые письма с вредоносными HTML-вложениями на все адреса в почтовом ящике жертвы. Банковский троян может собирать учетные данные жертвы для входа в различные онлайн-аккаунты, информацию об операционной системе и нажатия клавиш. Он также крадет одноразовые коды безопасности или мягкие маркеры из приложений онлайн-банкинга жертвы. Спам-утилита компрометирует учетные записи веб-почты Yahoo, Gmail и Outlook, позволяя субъекту угрозы получить контроль над этими почтовыми ящиками, извлечь адреса электронной почты своих контактов и рассылать спам по электронной почте.

Indicators of Compromise

IPv4

  • 137.220.53.87
  • 139.177.193.74
  • 185.45.195.226
  • 191.101.2.101
  • 212.46.38.43
  • 216.238.70.224
  • 51.38.235.152

Domains

  • amarte.store
  • ckws.info
  • facturacionmarzo.cloud
  • m9b4s2.site
  • tributaria.website
  • wiqp.xyz

URLs

  • http://137.220.53.87/20/t/p/m.zip
  • http://139.177.193.74/
  • http://139.177.193.74/09/01092022/au/adjuntos_2102.html
  • http://139.177.193.74/a/08/150822/au/adjuntos_0102.htm
  • http://139.177.193.74/a/08/150822/au/adjuntos_0102.html
  • http://139.177.193.74/a/08/150822/au/adjuntos_0703.html
  • http://139.177.193.74/a/08/150822/au/adjuntos_2012.html
  • http://139.177.193.74/a/08/150822/au/adjuntos_2102.html
  • http://139.177.193.74/a/08/150822/au/logs/index.php?CHLG
  • http://139.177.193.74/a/08/150822/au/tst/index.php?list
  • http://139.177.193.74/esp/12/151222/au/adjuntos_0703.html
  • http://139.177.193.74/esp/12/151222/au/gm/index.php?CHLG
  • http://139.177.193.74:443/
  • http://191.101.2.101/m/1
  • http://212.46.38.43/e/1
  • http://212.46.38.43/m/1
  • http://216.238.70.224/20/t/e/m.zip
  • http://51.38.235.152/20/a/m/m.zip
  • http://ckws.info/
  • http://ckws.info/a/0511
  • http://ckws.info/a/0511/au/au
  • http://ckws.info/a/07/080722/au/au
  • http://ckws.info/a/07/080722/up/up
  • http://ec2-54-234-37-57.compute-1.amazonaws.com/m/documento-pdf.html
  • http://ec2-54-234-37-57.compute-1.amazonaws.com/m/index.php?va
  • http://m9b4s2.site/
  • http://m9b4s2.site/2001525248/12457856.html
  • http://m9b4s2.site/A/I
  • http://m9b4s2.site/A/I'
  • http://m9b4s2.site/k
  • http://m9b4s2.site/k/i
  • http://m9b4s2.site/N/I
  • http://tributaria.website:443/
  • http://wiqp.xyz/
  • http://wiqp.xyz/09/01092022/up/up
  • https://amarte.store/
  • https://amarte.store/a/08/150822/au/au
  • https://amarte.store/a/08/150822/up/up
  • https://ckws.info/a/0511/
  • https://ckws.info/a/0511/up/up
  • https://ckws.info/A/07/080722/UP/UP
  • https://ckws.info/a/310122/au/au
  • https://ckws.info/a/310122/up/up
  • https://facturacionmarzo.cloud/e/archivos.pdf.html
  • https://facturacionmarzo.cloud/m/archivos.pdf.html
  • https://m9b4s2.site/
  • https://m9b4s2.site/2001525248/12457856.html%20%20Servicio%20de%20Administraci%C3%B3n%20Tributaria
  • https://m9b4s2.site/2001525248/12457856.html=0A=
  • https://m9b4s2.site/a1/u
  • https://m9b4s2.site/a1/u/
  • https://m9b4s2.site/a1/u/a/index.p.h.p
  • https://m9b4s2.site/a1/u/a/index.php
  • https://m9b4s2.site/a1/u/a/xml.dat
  • https://m9b4s2.site/a1/u/a/xml.dat'
  • https://m9b4s2.site/i7_5_7_3_3_2E9Uogmx/i7_5_7_3_3_2E9Uog/i7_5_7_3_3_2E9Uogal/i7_5_7_3_3_2E9Uog
  • https://m9b4s2.site/M1S8823HSN34/?1538567474
  • https://m9b4s2.site/tst/index.php?list
  • https://tributaria.website/
  • https://tributaria.website/a/08/150822/au/au
  • https://tributaria.website/A/08/150822/AU/TST/INDEX.PHP?LIST
  • https://tributaria.website/a/08/150822/up/up
  • https://tributaria.website/a/09/01092022/au/tst/index.php?list
  • https://tributaria.website/a/W_/X\\W_YY/au/au
  • https://tributaria.website/esp/12/151222/au/au
  • https://tributaria.website/ESP/12/151222/UP/UP
  • https://wiqp.xyz/
  • https://wiqp.xyz/09/01092022/au/au

SHA256

  • 07f7575af922da1aea5aa26436a3cfcd91b419bbf31d77bf6c9d921290bc04da
  • 26e06886d9dde7c9ecdc9b223e5f325d0af27cc9b470179a8e493ac300bd783e
  • 294363039bf93d4c34c8769e581b9c47f8ea210e427fc1feed128bd9bf979a4a
  • 39194718b460ea174784f6a7edbccd1e3324fe1043be806927cece7a86f15611
  • 474b25badb40f524a7b2fe089e51eb7dbafd2e3e03a9f6750f72055d05b13d76
  • 63535100bbc1ba8ce9afb5883a59a4138e95c8e33a4585b8285ea7a39e0ead3e
  • 720c126f372b68ff79ef13bd1ae6fc9a6aef10669269490d7e8fb589d7d49064
  • 74a7d13289029d8439e38e0acb4d3b526c63ae863a41218a511182d8f0e6ebef
  • aaf456575c8761f3af9b61e015282d9162325ed09b699732bf65b53ae7b7d252
  • fd932d83965d20683ea7f99244dc672e0b4187c9e7588578b626b99d67ac71a6
  • ffd43b32655fc6f1e1c10f88660b68e2c2ad7da271b0f2e3eda70ccdcb3bcee4
Похожие записи:
  1. Truebot Botnet IOCs
  2. Prometei Botnet IOCs
  3. Cyclops Blink Botnet IOC
  4. Emotet Trojan IOC
  5. Muhstik Botnet IOC
Banking Tojan Botnet Cisco Talos Horabot
Добавить комментарий