最近,Cisco Talos的網絡安全研究人員發現了一個新的黑客攻擊活動,他們聲稱該攻擊活動旨在瞄準受害者的敏感數據、登錄憑證和電子郵件收件箱。該攻擊活動的名稱為Horabot,被描述為一個僵屍網絡,已經活躍了近兩年半的時間(最早在2020年11月被發現)。
在這段時間內,它的主要任務是分發銀行木馬和垃圾郵件。該攻擊活動的操作人員似乎位於巴西,而受害者主要是位於墨西哥、烏拉圭、委內瑞拉、巴西、巴拿馬、阿根廷和危地馬拉的西班牙語使用者。
受害者來自不同的行業,從投資公司到批發分銷,從建築到工程和會計。攻擊始於一封携帶惡意HTML附件的電子郵件。
最終,受害者被敦促下載一個包含銀行木馬的.RAR檔案。這種惡意軟件能夠做很多事情:盜取登錄憑證、記錄按鍵,並抓取系統信息。通過生成一個不可見的覆蓋層,它還能夠從多因素身份驗證(MFA)應用程序中抓取一次性安全代碼,從而繞過這一關鍵的安全層。
此外,該木馬還可以接管受害者的電子郵件帳戶,包括Outlook、Gmail和Yahoo的帳戶。攻擊者隨後會利用這種訪問權限向收件箱中保存的所有聯繫人發送垃圾郵件,使其分發和感染鏈有些隨機和非定向。
在某種程度上,該木馬還可以作為遠程桌面管理工具,因為它可以從受害者的端點創建和刪除目錄和文件,研究人員表示。最後,該工具具有幾個混淆功能,可以防止它在沙箱環境中運行,或在調試工具旁邊運行,從而使發現和隨後的分析變得更加困難。