Les chercheurs en cybersécurité de Cisco Talos ont repéré une nouvelle campagne de piratage qui, selon eux, cible les données sensibles, les identifiants de connexion et les boîtes de réception des e-mails des victimes.
Horabot est décrit comme un botnet actif depuis près de deux ans et demi maintenant (repéré pour la première fois en novembre 2020). Pendant ce temps, il a été principalement chargé de distribuer un cheval de Troie bancaire et un logiciel malveillant de spam.
Ses opérateurs semblent être situés au Brésil, tandis que ses victimes sont des utilisateurs hispanophones situés principalement au Mexique, en Uruguay, au Venezuela, au Brésil, au Panama, en Argentine et au Guatemala.
Horabot botnet
Les victimes se trouvent dans différentes industries, des sociétés d’investissement à la distribution en gros, de la construction à l’ingénierie et à la comptabilité.
L’attaque commence par un message électronique contenant une pièce jointe HTML malveillante. En fin de compte, la victime est invitée à télécharger une archive .RAR, qui contient le cheval de Troie bancaire.
Le logiciel malveillant est capable de faire beaucoup de choses : voler les identifiants de connexion, enregistrer les frappes au clavier et saisir les informations système. En générant une superposition invisible, il est également capable de saisir des codes de sécurité à usage unique à partir d’applications d’authentification multifacteur (MFA), contournant essentiellement cette couche de sécurité cruciale.
En outre, le cheval de Troie peut prendre le contrôle des comptes de messagerie des victimes, y compris ceux d’Outlook, Gmail et Yahoo. Les acteurs de la menace utiliseraient alors cet accès pour envoyer des spams à tous les contacts enregistrés dans la boîte de réception, rendant sa chaîne de distribution et d’infection quelque peu aléatoire et non ciblée. Dans une certaine mesure, le cheval de Troie fonctionne également comme un outil de gestion de bureau à distance, car il peut créer et supprimer des répertoires et des fichiers du terminal de la victime, ont déclaré les chercheurs.
Enfin, l’outil dispose de plusieurs fonctionnalités d’obscurcissement qui l’empêchent de s’exécuter dans un environnement sandbox ou à côté d’un outil de débogage, ce qui rend la découverte et l’analyse ultérieure un peu plus difficiles.
Via : BleepingComputer