Анализ угрозы Horabot: многослойная цепочка атак обходит защиту и крадёт банковские данные

Начальной точкой для исследования стал стандартный инцидент. В среде одного из клиентов сработало общее правило, настроенное на обнаружение подозрительной активности, связанной с исполнением скриптов через утилиту "mshta". Продукт для защиты конечных точек Kaspersky Endpoint Security с модулем проактивной защиты (PDM) успешно заблокировал вредоносный процесс и удалил связанные файлы, предотвратив развитие атаки. Однако сам факт попытки проникновения привлёк внимание аналитиков, которые решили изучить тактику, техники и процедуры (TTP), стоящие за этой кампанией.

Тщательное расследование позволило восстановить полную цепочку атаки. Она начинается с классической социальной инженерии: жертве предлагается перейти на поддельную страницу с CAPTCHA, которая на самом деле является фишинговой. На странице пользователю предлагается открыть диалоговое окно «Выполнить» (Run), вставить и выполнить предоставленную команду. В данном случае команда загружала и исполняла HTA-файл (HTML Application), который выступал в роли первого загрузчика. Этот файл открывал пустое окно и незаметно для пользователя загружал JavaScript-полезную нагрузку с контролируемого злоумышленниками домена.

Особенностью данной кампании является активное использование серверного полиморфизма. Каждый последующий этап загрузки представляет собой VBScript, который динамически подгружается с сервера злоумышленников. При этом каждый запрос к одному и тому же ресурсу возвращает слегка изменённую версию кода, сохраняющую ту же функциональность. Это усложняет создание статических сигнатур для антивирусных решений. Второй, более сложный VBScript, выполняет роль основного загрузчика. Он содержит более 400 строк обфусцированного кода, проводит проверки на наличие виртуальных машин и антивируса Avast, собирает системную информацию (IP-адрес, имя хоста, пользователя, версию ОС) и отправляет её на сервер управления.

Исследователи обнаружили незащищённую веб-страницу, на которой операторы угрозы вели список своих жертв. Данные, представленные на португальском языке, показали, что из 5384 заражённых систем около 93% (5030) находились в Мексике, что указывает на чёткую географическую направленность кампании. После сбора информации загрузчик размещает на диске три компонента, связанных с AutoIt (исполняемый файл, компилятор и скрипт), а также зашифрованный blob-файл. Скрипт AutoIt расшифровывает этот файл, используя AES-192, и загружает в память DLL-библиотеку.

Анализ этой библиотеки показал, что это вариация известного банковского троянца, известного под именами Casbaneiro, Ponteiro или Metamorfo. Он крадёт учётные данные из браузеров, используя SQL-запросы, и поддерживает связь с C2 через HTTPS, используя старые библиотеки OpenSSL. Вредоносная программа использует сложный шифр на основе XOR с вычитанием для защиты строк и конфигурации, а также реализует собственный протокол для управления через сокеты, унаследованный от открытого проекта Delphi Remote Access PC. Для шифрования трафика по этому протоколу применяется ещё один алгоритм на основе XOR с тремя случайными ключами, что, как ни парадоксально, создаёт отличительный шаблон «##[ключи][данные]##», который можно использовать для детектирования в сетевых системах обнаружения вторжений (IDS).

Одной из ключевых функций троянца является демонстрация фишинговых оверлеев - поддельных окон, которые накладываются поверх интерфейсов легитимных банковских приложений и выманивают у жертв данные для входа. Изображения для этих оверлеев хранятся в зашифрованном виде и расшифровываются с помощью алгоритма RC4. Ключ для расшифровки содержит бразильское сленговое выражение «pega a visão», что косвенно подтверждает происхождение операторов кампании. Помимо банковских функций, комплекс Horabot включает модуль массовой рассылки (spreader), написанный на PowerShell. Его задача - собрать адреса электронной почты через MAPI, отфильтровать их по стоп-словам и разослать фишинговые письма с вредоносными PDF-вложениями. Комментарии в коде этого модуля также написаны на бразильском португальском и содержат неформальные выражения, что указывает на ручное, а не автоматизированное, написание части кода.

Данный случай наглядно демонстрирует тенденцию к созданию модульных и многоступенчатых угроз, которые сочетают проверенные методы (социальную инженерию, известные банковские троянцы) с усложнёнными механизмами обфускации и доставки. Для защиты от подобных атак специалистам по информационной безопасности рекомендуется уделять особое внимание обучению пользователей распознаванию фишинга, строгой сегментации сети, а также внедрению решений класса EDR для поведенческого анализа. Сетевые сигнатуры, основанные на уникальных шаблонах шифрования протокола управления, таких как описанный формат с маркерами «##», могут быть эффективно внедрены в системы IPS/IDS для блокировки коммуникаций на ранних стадиях. Регулярный аудит и ограничение использования скриптовых технологий (mshta, PowerShell) в корпоративной среде также являются важными мерами по сокращению поверхности атаки.

IPv4

• 64.177.80.44

Domains

• lifenews.pro

URLs

• https://aufal.filevexcasv.buzz/on7/index15.php
• https://aufal.filevexcasv.buzz/on7all/index15.php
• https://cfg.brasilinst.site/a/br/logs/index.php?CHLG
• https://cgf.facturastbs.shop/0725/a/home
• https://cgf.facturastbs.shop/a/08/150822/au/app
• https://cgf.facturastbs.shop/a/08/150822/au/at.html
• https://cgf.facturastbs.shop/a/08/150822/au/gerapdf/blqs1
• https://cgf.facturastbs.shop/a/08/150822/au/gerauto.php
• https://cgf.midasx.site/a/08/150822/au/au
• https://evs.grupotuis.buzz/0capcha17/
• https://evs.grupotuis.buzz/0capcha17/DMEENLIGGB.hta
• https://evs.grupotuis.buzz/0capcha17/DMEENLIGGB/GRXUOIWCEKVX
• https://labodeguitaup.space/a/08/150822/au/au
• https://pdj.gruposhac.lat/g1/
• https://pdj.gruposhac.lat/g1/auxld1
• https://pdj.gruposhac.lat/g1/ctld/
• https://pdj.gruposhac.lat/g1/gerador.php
• https://pdj.gruposhac.lat/g1/ld1/
• https://thea.gruposhac.space/0out0408

MD5

• 6272ef6ac1de8fb4bdd4a760be7ba5ed