Cybersicherheitsforscher von Cisco Talos haben eine neue Hacking-Kampagne entdeckt, die angeblich auf sensible Daten, Anmeldeinformationen und E-Mail-Postfächer der Opfer abzielt.
Horabot wird als ein Botnetz beschrieben, das nun seit fast zweieinhalb Jahren aktiv ist (erstmals im November 2020 entdeckt). In dieser Zeit war es vor allem damit beauftragt, einen Banking-Trojaner und Spam-Malware zu verbreiten.
Seine Betreiber scheinen in Brasilien ansässig zu sein, während seine Opfer spanischsprachige Benutzer sind, die hauptsächlich in Mexiko, Uruguay, Venezuela, Brasilien, Panama, Argentinien und Guatemala ansässig sind.
Horabot-Botnetz
Die Opfer sind in verschiedenen Branchen zu finden, von Investmentfirmen bis zum Großhandel, vom Baugewerbe bis zum Maschinenbau und der Buchhaltung.
Der Angriff beginnt mit einer E-Mail-Nachricht, die einen schädlichen HTML-Anhang enthält. Letztendlich wird das Opfer aufgefordert, ein .RAR-Archiv herunterzuladen, das den Banking-Trojaner enthält.
Die Malware kann viele Dinge tun: Anmeldeinformationen stehlen, Tastatureingaben protokollieren und Systeminformationen abrufen. Durch die Generierung eines unsichtbaren Overlays ist es auch in der Lage, einmalige Sicherheitscodes von Multi-Faktor-Authentifizierungs-Apps (MFA) abzurufen und so diese entscheidende Sicherheitsebene im Wesentlichen zu umgehen.
Außerdem kann der Trojaner die E-Mail-Konten der Opfer übernehmen, darunter die von Outlook, Gmail und Yahoo. Die Bedrohungsakteure würden diesen Zugriff dann nutzen, um Spam-Nachrichten an alle im Posteingang gespeicherten Kontakte zu senden, wodurch die Verteilungs- und Infektionskette eher zufällig und ungezielt würde. In gewissem Maße funktioniert der Trojaner auch als Remote-Desktop-Verwaltungstool, da er Verzeichnisse und Dateien auf dem Endpunkt des Opfers erstellen und löschen kann, so die Forscher.
Schließlich verfügt das Tool über mehrere Verschleierungsfunktionen, die verhindern, dass es in einer Sandbox-Umgebung oder neben einem Debugging-Tool ausgeführt wird, was die Entdeckung und anschließende Analyse etwas erschwert.
Über: BleepingComputer