Chiến dịch Horabot mới phát tán mã độc và chiếm quyền kiểm soát tài khoản email

Theo các nhà nghiên cứu, phần lớn người dùng bị nhiễm mã độc là người dân tại Mexico, một lượng nhỏ tại Uruguay, Brazil, Venezuela, Argentina, Guatemala và Panama. Các đối tượng thực hiện chiến dịch này được cho rằng có liên quan đến Brazil.

Các đối tượng bị chiến dịch này nhắm đến thuộc các lĩnh vực như kế toán, xây dựng và kỹ thuật, nhà phân phối và nhóm đầu tư, ngoài ra, một số lĩnh vực khác trong khu vực cũng có thể bị ảnh hưởng.

Việc thiết bị bị khởi động lại đóng vai trò như một bệ phóng cho banking trojan và công cụ spam, qua đó cho phép đối tượng tấn công đánh cắp các dữ liệu, ghi lại log của việc gõ phím, chụp ảnh màn hình và phân tán các email phishing khác tới các mối liên hệ của nạn nhân. Banking trojan này là một Windows DLL 32-bit được viết bằng ngôn ngữ Delphi và có điểm chung với các nhóm mã độc khác của Brazil như Mekotio và Casbaneiro.

Horabot là một chương trình Botnet phishing trên Outlook được viết bằng Powershell với khả năng gửi đi các email phishing tới các địa chỉ email có trong mailbox của nạn nhân để phát tán. Chiến dịch tấn công diễn ra kể từ năm 2021 nhắm vào hơn 30 tổ chức tài chính của Bồ Đào Nha với các mã độc đánh cắp thông tin.

Việc phát hiện một Banking Trojan Android mới có tên PixBankBot cho phép đối tượng tấn công tận dụng các dịch vụ trợ năng của OS để thực hiện các tác vụ chuyển tiền lừa đảo qua nền tảng thanh toán PIX của Brazil.

PixBankBot là mã độc mới nhắm vào các ngân hàng của Brazil, sở hữu các tính năng tương tự như BrasDex, PixPirate và GoatRat đã được phát hiện trong những tháng vừa qua.