I ricercatori di cybersecurity di Cisco Talos hanno individuato una nuova campagna di hacking che, affermano, sta prendendo di mira i dati sensibili delle vittime, le credenziali di accesso e le caselle di posta elettronica. Horabot è descritto come un botnet attivo da quasi due anni e mezzo (prima avvistato nel novembre 2020).
La botnet Horabot
Durante questo periodo, è stato principalmente incaricato di distribuire un trojan bancario e malware spam. I suoi operatori sembrano essere situati in Brasile, mentre le sue vittime sono utenti di lingua spagnola situati principalmente in Messico, Uruguay, Venezuela, Brasile, Panama, Argentina e Guatemala.
Come funziona l’attacco
L’attacco inizia con un messaggio email che contiene un allegato HTML malevolo. In definitiva, alla vittima viene chiesto di scaricare un archivio .RAR, che contiene il trojan bancario. Il malware è in grado di fare molte cose: rubare le credenziali di accesso, registrare i tasti premuti e acquisire informazioni sul sistema.
Bypassare l’autenticazione multi-fattore
Generando un overlay invisibile, è anche in grado di acquisire i codici di sicurezza monouso dalle app di autenticazione multi-fattore (MFA), bypassando essenzialmente questo cruciale strato di sicurezza. Inoltre, il trojan può prendere il controllo degli account email delle vittime, inclusi quelli di Outlook, Gmail e Yahoo.
Difficoltà di scoperta e analisi
Gli attori della minaccia utilizzerebbero quindi questo accesso per inviare messaggi di spam a tutti i contatti salvati nella casella di posta, rendendo la sua distribuzione e catena di infezione in qualche modo casuale e non mirata. Infine, lo strumento ha diverse funzioni di offuscamento che impediscono il suo funzionamento in un ambiente sandbox o accanto a uno strumento di debug, rendendo la scoperta e l’analisi successiva un po’ più difficili.