在最近的一项调查中,FortiGuard Labs 揭露了一个复杂的网络钓鱼活动,该活动传播了 Horabot 恶意软件系列,这是一种针对拉丁美洲讲西班牙语的用户的欺骗性强大威胁。Horabot 利用熟悉的业务通信(西班牙语的假发票电子邮件)将社会工程与分层脚本技术相结合,以实现持久性、凭据盗窃和自动横向传播。
根据 Fortinet 的说法,Horabot“主要针对讲西班牙语的用户”,通过发送网络钓鱼电子邮件,“冒充发票或财务文件,诱骗受害者打开恶意附件”。这些电子邮件通常被精心设计成来自墨西哥企业的合法信件,其中包含带有恶意 HTML 文件的 ZIP 附件。在内部,HTML 文件包含 Base64 编码的数据,这些数据通过远程服务器启动多阶段感染链。
感染链结合了 VBScript、AutoIt 和 PowerShell,以逃避检测并传递有效负载。VBScript 阶段执行反分析检查,例如如果存在 Avast 防病毒软件或系统似乎在虚拟机中运行,则终止该检查。然后,它执行侦察,收集系统和网络详细信息,并通过 POST 请求将它们发送到攻击者控制的基础设施。
AutoIt 脚本在解密和执行有效负载方面起着核心作用。该恶意软件会下载 AutoIt3.exe 和 Aut2Exe.exe 等合法的 AutoIt 工具,以及混淆的有效负载。它使用硬编码密钥 (99521487),解密恶意 DLL 并通过 AutoIt 执行它,确保“这些关键文件的属性是隐藏的、系统的和只读的”。
一旦激活,Horabot 的解密 DLL 就会从基于 Chromium 的浏览器(如 Chrome、Edge、Brave 和 Opera)中窃取有价值的信息,包括作系统详细信息、防病毒存在和敏感浏览器数据。该恶意软件还能够注入虚假的弹出窗口,旨在网络钓鱼以获取登录凭据,通过将这些覆盖层嵌入 DLL 的 RCData 部分,这种作变得更加隐蔽。
Horabot 特别危险的是它能够通过受害者的 Outlook 电子邮件客户端传播自身。Fortinet 解释说,Horabot“利用 Outlook COM 自动化从受害者的邮箱发送网络钓鱼邮件”,使其能够在公司和个人网络中传播。
此电子邮件自动化系统过滤掉 Gmail、Hotmail 和 .edu 等域,以避开消费者帐户和学术机构,而是专注于收集企业联系人。它使用预先编写的西班牙语消息和相同的恶意发票附件构建网络钓鱼电子邮件,从而维持合法业务通信的假象。
在发送其有效载荷和网络钓鱼电子邮件后,Horabot 会删除其存在的所有痕迹。脚本 “a6” 可清理伪像、删除有效负载,并确保留下最少的取证证据 — 这是专业恶意软件作的标志。
组织必须增强其电子邮件过滤系统,密切监控脚本执行行为,并培训员工对意外附件持怀疑态度 – 即使它们似乎来自受信任的来源。
发表评论
您还未登录,请先登录。
登录