Ένα γνωστό τραπεζικό trojan που ονομάζεται Horabot επανεμφανίστηκε σε μια ενεργή καμπάνια που στοχεύει χρήστες σε όλο το Μεξικό, συνδυάζοντας μια αλυσίδα μόλυνσης πολλαπλών σταδίων με έναν ιό τύπου worm email που μετατρέπει κάθε παραβιασμένο μηχάνημα σε ρελέ phishing.
Η απειλή συνδυάζει έναν τραπεζικό trojan που βασίζεται στους Δελφούς με έναν διανομέα που βασίζεται στο PowerShell, καθιστώντας τον μια από τις πιο πολυεπίπεδες απειλές με οικονομικά κίνητρα που παρατηρούνται στη Λατινική Αμερική.
Η επίθεση ξεκινά με μια ψεύτικη σελίδα CAPTCHA που δίνει εντολή στα θύματα να ανοίξουν το παράθυρο διαλόγου Εκτέλεση των Windows και να επικολλήσουν μια κακόβουλη εντολή. Αντί να εκμεταλλεύονται ένα ελάττωμα λογισμικού, οι εισβολείς εξαπατούν τους χρήστες να εκτελέσουν ένα κακόβουλο αρχείο HTA που εκκινεί σιωπηλά την αλυσίδα μόλυνσης.
Αυτή η μέθοδος παρακάμπτει πολλές άμυνες τελικού σημείου μετατρέποντας το θύμα σε έναν άγνωστο συμμετέχοντα στον δικό του συμβιβασμό.
Αναλυτές Securelist εντόπισαν αυτήν την καμπάνια μετά από μια ύποπτη ειδοποίηση εκτέλεσης mshta που ενεργοποιήθηκε σε περιβάλλον παρακολουθούμενου πελάτη.
Η ομάδα εντόπισε τη δραστηριότητα σε μια ψεύτικη σελίδα CAPTCHA και χαρτογράφησε την πλήρη αλυσίδα επίθεσης διερευνώντας την υποδομή του αντιπάλου.
Κατά τη διάρκεια αυτής της διαδικασίας, οι ερευνητές βρήκαν ένα εκτεθειμένο αρχείο καταγραφής θυμάτων στον διακομιστή του ίδιου του εισβολέα, αποκαλύπτοντας 5.384 μολυσμένα μηχανήματα — 5.030, ή περίπου το 93%, που βρίσκονται στο Μεξικό. Τα αρχεία έφτασαν τον Μάιο του 2025, επιβεβαιώνοντας ότι η επιχείρηση εκτελούνταν για μήνες πριν εντοπιστεί.
Οι παράγοντες της απειλής δείχνουν ξεκάθαρους δεσμούς με τη Βραζιλία. Τα σχόλια μέσα στον κώδικα PowerShell του διανομέα γράφτηκαν στα πορτογαλικά βραζιλιάνικα και το κλειδί κρυπτογράφησης που χρησιμοποιείται για την αποκρυπτογράφηση πόρων αναφέρεται στη φράση “Pega a visão,” που σημαίνει «πάρτε την εικόνα» στη βραζιλιάνικη αργκό.
Τα μηνύματα ηλεκτρονικού ψαρέματος που διανέμονται από το σκουλήκι είναι γραμμένα στα ισπανικά και έχουν δημιουργηθεί ως πλαστά τιμολόγια ή εμπιστευτικά επιχειρηματικά έγγραφα που στοχεύουν Μεξικανούς παραλήπτες.
Το Delphi banking trojan — επίσης παρακολουθείται ως Casbaneiro, Ponteiro και Metamorfo — χρησιμοποιεί πλαστά αναδυόμενα παράθυρα επικάλυψης τράπεζας για να κλέψει διαπιστευτήρια σύνδεσης κατά τη διάρκεια ενεργών τραπεζικών συνεδριών.
Ο ιός τύπου worm email συλλέγει επίσης διευθύνσεις επαφής από τα εισερχόμενα του θύματος μέσω του χώρου ονομάτων MAPI και στέλνει μηνύματα ηλεκτρονικού ψαρέματος σε καθένα, μεταφέροντας ένα κακόβουλο PDF που επανεκκινεί ολόκληρο τον κύκλο μόλυνσης.
Αυτό που ξεχωρίζει αυτή την καμπάνια δεν είναι μόνο το ωφέλιμο φορτίο της, αλλά η περίτεχνη διαδρομή παράδοσης. Κάθε στάδιο εισάγει ένα νέο επίπεδο συσκότισης πριν φτάσει το τελικό κακόβουλο λογισμικό.
Μετά την εκτέλεση του αρχείου HTA, ανακτά ένα πρόγραμμα φόρτωσης JavaScript από έναν τομέα ελεγχόμενο από εισβολέα, ο οποίος στη συνέχεια τραβά και εκτελεί ένα ασαφή VBScript.
Αυτό το VBScript χρησιμοποιεί πολυμορφισμό από την πλευρά του διακομιστή — παρέχοντας μια ελαφρώς διαφορετική έκδοση του κώδικα σε κάθε αίτημα για την εξάλειψη της ανίχνευσης που βασίζεται στην υπογραφή.
Ένα δεύτερο, πιο σύνθετο VBScript με περισσότερες από 400 γραμμές λειτουργεί ως ο άξονας εργασίας της επιχείρησης, συλλέγοντας τη διεύθυνση IP του θύματος, το όνομα κεντρικού υπολογιστή, το όνομα χρήστη και την έκδοση του λειτουργικού συστήματος πριν από την αποστολή αυτών των δεδομένων σε έναν διακομιστή εντολών και ελέγχου.
Ρίχνει στοιχεία AutoIT στο δίσκο, εγκαθιστά μια συντόμευση LNK στο φάκελο Startup για επιμονή και κατεβάζει το επόμενο στάδιο.
Στη συνέχεια, το σενάριο AutoIT αποκρυπτογραφεί μια κρυπτογραφημένη σταγόνα AES-192 χρησιμοποιώντας ένα κλειδί που προέρχεται από την τιμή σποράς 99521487 και φορτώνει το DLL που προκύπτει απευθείας στη μνήμη — ότι το DLL είναι ο τραπεζικός trojan.
Επικοινωνεί με τον διακομιστή C2 μέσω ενός προσαρμοσμένου πρωτοκόλλου TCP, αναδιπλώνοντας εντολές σε δομημένες ετικέτες, με όλη την κίνηση κρυπτογραφημένη μέσω ενός κωδικού XOR με κατάσταση κατάστασης.
Η έξοδος πλαισιώνεται μεταξύ διπλού "##" δείκτες, ένα μοτίβο αρκετά σπάνιο στη νόμιμη κυκλοφορία για να λειτουργήσει ως αξιόπιστη υπογραφή ανίχνευσης δικτύου.
Οι αναλυτές παρατήρησαν ότι η άκαμπτη, επαναλαμβανόμενη δομή του κρυπτογράφησης διευκολύνει την σύλληψη με έναν τυπικό κανόνα IDS.
Οι ομάδες ασφαλείας θα πρέπει να αποκλείουν την εκτέλεση αρχείων HTA από μη αξιόπιστες πηγές και να παρακολουθούν στενά για ύποπτη δραστηριότητα mshta.
Ανάπτυξη των δημοσιευμένων κανόνων YARA τόσο για τον trojan Horabot Delphi όσο και για τον φορτωτή AutoIT, μαζί με τον κανόνα Suricata που στοχεύει το διπλό "##" Το μοτίβο κυκλοφορίας C2, θα βοηθήσει στην έγκαιρη ανίχνευση λοιμώξεων.
Όλοι οι κοινόχρηστοι δείκτες συμβιβασμού — συμπεριλαμβανομένων των τομέων που ελέγχονται από τον εισβολέα και των διευθύνσεων υποδοχής — θα πρέπει να προστεθούν στις λίστες αποκλεισμού δικτύου χωρίς καθυστέρηση.
Η εκπαίδευση ευαισθητοποίησης των χρηστών σε ψεύτικα δολώματα CAPTCHA και συνημμένα PDF με ενσωματωμένα κουμπιά παραμένει ένα κρίσιμο επίπεδο άμυνας.
Τα φυτά αράχνη είναι ένα από τα αγαπημένα μου φυτά εσωτερικού χώρου, και εκτός από…
This article is part of AI Week. The question of what place AI could and…
Ένας παράγοντας απειλών που συνδέεται με το ρωσικό κράτος εξαπέλυσε μια στοχευμένη κυβερνοεπίθεση εναντίον μιας…
Ένας φιλόδοξος κατασκευαστής δορυφόρων θα εκτοξεύσει ένα από τα πιο ισχυρά διαστημόπλοια που κατασκευάστηκε ποτέ…
Το σημερινό 9to5 Διάλειμμα για παιχνίδια εξακολουθεί να έχει μια από τις καλύτερες τιμές μέχρι…
Όλοι μιλούν για τη νέα σειρά Samsung Galaxy S26 και ενώ αυτά τα τηλέφωνα αξίζουν…
