Cisco Talos’tan siber güvenlik araştırmacıları, kurbanların hassas verilerini, oturum açma kimlik bilgilerini ve e-posta gelen kutularını hedef aldığını iddia ettikleri yeni bir bilgisayar korsanlığı kampanyası tespit etti.
Horabot, neredeyse iki buçuk yıldır aktif olan bir botnet olarak tanımlanıyor (ilk olarak Kasım 2020’de görüldü). Bu süre zarfında, çoğunlukla bir bankacılık truva atı ve spam kötü amaçlı yazılım dağıtmakla görevlendirildi.
Operatörleri Brezilya’da bulunuyor gibi görünüyor, kurbanları ise çoğunlukla Meksika, Uruguay, Venezuela, Brezilya, Panama, Arjantin ve Guatemala’da bulunan İspanyolca konuşan kullanıcılar.
Horabot botnet’i
Kurbanlar, yatırım firmalarından toptan dağıtıma, inşaattan mühendisliğe ve muhasebeye kadar farklı sektörlerde bulunuyor.
Saldırı, kötü amaçlı bir HTML eki taşıyan bir e-posta iletisiyle başlar. En sonunda, kurbandan bankacılık truva atını tutan bir .RAR arşivini indirmesi istenir.
Kötü amaçlı yazılım pek çok şey yapabilir: oturum açma kimlik bilgilerini çalmak, tuş vuruşlarını günlüğe kaydetmek ve sistem bilgilerini ele geçirmek. Görünmez bir yer paylaşımı oluşturarak, aynı zamanda çok faktörlü kimlik doğrulama (MFA) uygulamalarından tek seferlik güvenlik kodlarını alarak bu çok önemli güvenlik katmanını atlayabilir.
Ayrıca truva atı, Outlook, Gmail ve Yahoo’dakiler de dahil olmak üzere kurbanların e-posta hesaplarını ele geçirebilir. Tehdit aktörleri daha sonra bu erişimi, gelen kutusunda kayıtlı tüm kişilere istenmeyen mesajlar göndermek için kullanır, bu da dağıtımını ve bulaşma zincirini biraz rastgele ve hedefsiz hale getirir. Araştırmacılar, bir dereceye kadar, truva atının aynı zamanda bir uzak masaüstü yönetim aracı olarak da çalıştığını, çünkü kurbanın uç noktasından dizinler ve dosyalar oluşturabildiğini ve silebildiğini söyledi.
Son olarak, araç, bir sanal alan ortamında veya bir hata ayıklama aracının yanında çalışmasını önleyen, keşfi ve sonraki analizi biraz daha zorlaştıran birkaç gizleme özelliğine sahiptir.
Aracılığıyla: BleepingBilgisayar
