Атака Horabot: злоумышленники используют фишинговые письма для кражи учетных данных

Horabot использует поддельные письма, представляющиеся как счета или финансовые документы, чтобы убедить жертву открыть вредоносные вложения и украсть их учетные данные. Атаки направлены в Латинскую Америку, включая страны, такие как Мексика и Колумбия.

Horabot использует автоматизацию Outlook COM для отправки фишинговых сообщений из почтового ящика жертвы и объединяет VBScript, AutoIt и PowerShell для разведки системы и кражи информации. Фишинговые письма пишутся на испанском языке, представляются как легитимные и призывают открыть вложения. Однако вложенный ZIP-файл содержит вредоносный HTML-код, который может загружать дополнительные вредоносные файлы.

Атака Horabot включает шаги, такие как проверка среды (включая обход антивирусного программного обеспечения), обнаружение виртуальных машин и сбор информации о жертве для эксфильтрации. Файлы с вредоносной программой загружаются с удаленных серверов и собирают информацию о жертве, которая затем отправляется через HTTP POST на сервер злоумышленников. Также происходит подготовка к использованию AutoIt для загрузки дополнительных вредоносных файлов на зараженные системы.

Horabot - это растущая угроза, демонстрирующая, как фишинговые атаки становятся все более совершенными, особенно в Латинской Америке. Он распространяется через поддельные испаноязычные электронные письма, выдаваемые за счета-фактуры, и обманом заставляет людей открывать вредоносные вложения. Вредоносная программа использует VBScript, AutoIt и PowerShell, чтобы скрыть себя, украсть учетные данные и собрать контакты электронной почты. Затем он использует Outlook, чтобы отправить себя другим жертвам, распространяясь через компании и личные сети.

Поскольку он разработан таким образом, чтобы сливаться с обычным поведением Windows и Outlook, его трудно заметить.

IPv4

• 209.74.71.168
• 93.127.200.211

Domains

• d1.webcorreio.pics
• f5.contactswebaccion.space
• labodeguitaup.space
• t4.contactswebaccion.store
• updatec.lat

SHA256

• 13a5c60a799c104a7bb1ff1489b82031c2ea1ed10712ca019e996fc0e37e9dfa
• 25be06643204fc7386db3af84b200d362c3287b30c7491b666c4fe821a8c6eb4
• 265a11951f6ac1fd1f150d2711e0158a59416dd709759b39904470f44c83272a
• 2ba471519bed0a5503408fee0593bc13547c88cfb10872a9739c2b1eaa5a287c
• 370ccca7392282056f20b45829d0cac92acacfc07ab9699c54b3695649713854
• 523d7e9005b2e431068130989caf4a96062a029b50a5455d37a2b88e6d04f83d
• 5368f9f0994b28295aaf7d7af586d78827a95c6eb359a3921ebaa8d2fe1c98a9
• 84d77737196ea5a8cb0efd8fc3ea61a878d1e1851cc63bcb1e0868019c71996f
• a885b89bb145dde56f6b63fcbf3560fb7179df43df5d212217ca583405beceb8
• f7140c28921dcf9ac542965a37b5473432f39b34f00161b6f0c0f8af7c9551a5