Horabot Malware ve Yeni Phishing Kampanyası
Son yıllarda siber güvenlik alanında yaşanan gelişmeler, özellikle zararlı yazılımların ve phishing (oltalama) saldırılarının artışıyla dikkat çekmektedir. Özellikle Latin Amerika’da, Horabot adlı bir zararlı yazılımın dağıtımına yönelik yeni bir phishing kampanyası ortaya çıkmıştır. Bu kampanya, Windows kullanıcılarını hedef alarak, çeşitli yöntemlerle kullanıcı bilgilerini çalmayı amaçlamaktadır.
Meksika ve Diğer Latin Ülkelerine Yönelik Saldırılar
Horabot, özellikle Meksika, Guatemala, Kolombiya, Peru, Şili ve Arjantin gibi İspanyolca konuşan ülkelerdeki kullanıcıları hedef alıyor. Fortinet FortiGuard Labs araştırmacısı Cara Lin, bu kampanyanın, fatura veya mali belgeler gibi görünen özel e-postalar kullanarak kurbanları kandırmayı amaçladığını belirtiyor. Bu tür e-postalar, kullanıcıları kötü amaçlı bağlantılara veya ek dosyalara yönlendirmek için tasarlanmıştır.
Saldırının Yöntemleri
Söz konusu saldırı, kurbanların e-posta hesaplarına Outlook COM otomasyonu aracılığıyla zararlı mesajlar göndermekte ve böylece zararlı yazılımı kurumsal veya kişisel ağ içinde yaymaktadır. Bu zaman içinde, VBScript, AutoIt, ve PowerShell komut dosyaları kullanarak sistem keşifleri gerçekleştirip, kimlik bilgilerini çalmaktadır.
İlk olarak Cisco Talos tarafından belgelendiği üzere, Horabot, en azından Kasım 2020’den beri Latin Amerika’da İspanyolca konuşan kullanıcıları hedef alıyor ve Brezilya merkezli bir siber tehdit aktörüne ait olduğu değerlendiriliyor.
Phishing E-postalarının İçeriği
Yeni saldırı seti, fatura temalı oltalama e-postaları ile başlamaktadır. Kullanıcılara, ZIP arşivine sıkıştırılmış bir PDF belgesi içeren e-postalar gönderilmektedir. Ancak, bu ek dosya gerçekte kötü amaçlı bir HTML dosyası içermektedir. Bu dosya, uzaktaki bir sunucuya bağlanmak ve bir sonraki aşama yükünü indirmek için tasarlanmıştır.
İlk yük, başka bir ZIP arşivi içermekte olup, burada HTML Uygulaması (HTA) dosyası bulunmaktadır. Bu dosya, uzaktaki bir sunucuda barındırılan bir komut dosyasını çalıştırmaktan sorumludur. Bu işlem, antivirüs yazılımı yüklü olduğunda ya da sanal bir ortamda çalışıyorsa kesilir. Ardından, uzaktaki sunucuya temel sistem bilgilerini toplayan ve ek yükleri geri alan bir VBScript çalıştırılmaktadır.
Zararlı Yazılımın Etkileri
Horabot, hedeflenen web tarayıcıları üzerinden kullanıcı verilerini çalmaktadır. Bu tarayıcılar arasında Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge ve Google Chrome bulunmaktadır. Lin, Horabot’un yanı sıra kullanıcı davranışlarını izlediğini ve kullanıcı giriş bilgilerini yakalamak için sahte pop-up pencereleri enjekte ettiğini belirtmektedir.
Zararlı yazılım, aynı zamanda bir bankacılık trojanını serbest bırakan bir DLL dosyası ve PowerShell komut dosyası ile kötü amaçlı e-postaları yaymaktadır. Bu süreç, Outlook içindeki kişi verilerini tarayarak hedef e-posta adreslerini listelemektedir.
Kurkulu Sisteme Dikkat Edin!
Kullanıcıların dikkatli olması gereken bu tür phishing saldırıları, giderek daha sinsi ve karmaşık hale gelmektedir. E-posta üzerinden gelen fatura gibi belgeleri açmadan önce mutlaka kaynağını kontrol etmek gerekmektedir. Ayrıca, güvenilir bir antivirüs yazılımının kullanılması, bu tür zararlı yazılımlara karşı alınabilecek en etkili önlemlerden biridir.
Siber güvenlik uzmanları, kullanıcıların öncelikle şifrelerini düzenli olarak değiştirmelerini ve iki faktörlü kimlik doğrulama yöntemlerini kullanmalarını önermektedir. Bu tür önlemler, zararlı yazılımın etkisini azaltma konusunda büyük fayda sağlayacaktır.
Sonuç
Horabot’un yayılma biçimleri, pek çok kişinin etkilenmesine neden olabilecek kapsamda bir tehdittir. Latin Amerika’daki kullanıcılar için özel olarak tasarlanmış olan bu yeni phishing kampanyası, aynı zamanda diğer bölgelerde de etkili olabilir. Kullanıcıların dikkatli olması ve güvenlik önlemlerini alması, bu tür saldırılardan korunmak adına büyük önem taşımaktadır. Unutulmamalıdır ki, siber güvenlikte her zaman dikkatli olmak ve bilgiye sahip olmak, eldeki verilerin korunmasında önemli bir rol oynamaktadır.
