Horabot cho phép kẻ tấn công chiếm quyền kiểm soát hộp thư Outlook của nạn nhân, lọc các địa chỉ email được liên hệ thường xuyên và gửi email lừa đảo có tệp đính kèm HTML độc hại đến các địa chỉ email trong hộp thư. Đồng thời, mã độc này còn chứa trojan ngân hàng trên Windows và một công cụ spam khác nhằm khai thác thông tin ngân hàng trực tuyến, tài khoản email thuộc Gmail, Outlook hay Yahoo! để gửi thư rác cho người dùng.
Theo các nhà nghiên cứu, phần lớn người dùng bị nhiễm là cư dân Mexico, với một số ít ở Uruguay, Brazil, Venezuela, Argentina, Guatemala và Panama. Các đối tượng của chiến dịch này được cho là có liên quan đến Brazil.
Những đối tượng mà chiến dịch này nhắm đến là kế toán, xây dựng và kỹ thuật, nhà phân phối và các nhóm đầu tư, cùng với các lĩnh vực khác trong khu vực cũng có khả năng bị ảnh hưởng.
Cuộc tấn công bắt đầu bằng các email lừa đảo có chứa “mồi nhử” liên quan đến thuế để dụ nạn nhân mở các tệp đính kèm HTML có chứa tệp RAR. Khi nạn nhân mở tệp đính kèm, tập lệnh PowerShell sẽ được thực thi và tải xuống tệp ZIP chứa các trọng tải từ máy chủ điều khiển và khởi động lại thiết bị của nạn nhân.
Việc khởi động lại thiết bị đóng vai trò là bệ phóng cho trojan ngân hàng và các công cụ spam, từ đó cho phép kẻ tấn công lấy cắp dữ liệu, ghi lại thao tác gõ phím, chụp ảnh màn hình và phân tích dữ liệu. phân phối các email lừa đảo khác đến các địa chỉ liên hệ của nạn nhân. Trojan ngân hàng này là một Windows DLL 32-bit được viết bằng Delphi và có điểm chung với các nhóm phần mềm độc hại Brazil khác như Mekotio và Casbaneiro.
Horabot là một chương trình botnet lừa đảo Outlook được viết bằng Powershell với khả năng gửi email lừa đảo đến địa chỉ email trong hộp thư của nạn nhân để phát tán. Chiến dịch tấn công diễn ra từ năm 2021 đã nhắm mục tiêu vào hơn 30 tổ chức tài chính của Bồ Đào Nha bằng phần mềm độc hại đánh cắp thông tin.
Việc phát hiện ra một Trojan Android Banking mới có tên là PixBankBot cho phép những kẻ tấn công tận dụng các dịch vụ trợ năng của hệ điều hành để thực hiện các giao dịch chuyển tiền gian lận thông qua nền tảng thanh toán PIX của Brazil.
PixBankBot là một phần mềm độc hại mới nhắm mục tiêu vào các ngân hàng Brazil, sở hữu các tính năng tương tự như BrasDex, PixPirate và GoatRat đã được phát hiện trong những tháng gần đây.
Link nguồn: https://cafef.vn/chien-dich-horabot-moi-phat-tan-ma-doc-va-chiem-quyen-kiem-soat-tai-khoan-email-188230611162928717.chn
