- Специальный корреспондент
Новый комплект троянцев перехватывает на ПК своих жертв контроль надпочтовыми аккаунтами в разных сервисах, рассылает спам, фишинговые письма иломает банковские аккаунты.
Эксперты компании Cisco Talos выявили масштабнуюкампанию, нацеленную на испаноязычных пользователей почтовых сервисов Outlook, Gmail, Hotmail и Yahoo в Латинской Америке. Ботнет Horabot уже более двух лет пытается компрометироватьчужие почтовые аккаунты, чтобы красть из них данные и рассылать фишинговыесообщения от лица их обладателей.
В Cisco полагают, что оператор кампании располагается вБразилии.
Заражение начинается сфишингового письма, чья заявленная тема связана с налогами. Во вложениирасполагается HTML-файл — якобы чек оплаты.
Открытие этого файлазапускает серию URL-редиректов, в результате которой жертва оказывается на другой HTML-странице. Та расположенав инстансе облачного сервиса AWS, находящегося под контролем злоумышленника.
Если жертва нажимает напредложенную ссылку, ей в систему скачивается архив RAR, который содержит batch-файл с расширением CMD. Тот, в свою очередь, скачивает скрипт PowerShell, которыйвыкачивает с контрольного сервера злоумышленника архив, содержащий ряд вредоносныхи легитимных файлов, DLL-библиотеки, которые сами по себе являются троянцами, и набор легитимныхисполняемых файлов. Эти файлы пытаются загрузить с другого контрольного серверадва заключительных компонента — скрипт загрузчика PowerShell и двоичный файл Horabot.
Любопытно, что один из DLL-файлов, размещенных вархиве, jli.dll, представляет собойбанковский троянец, написанный на языке Delphi. DLL троянца подгружает исполняемый файл kinit.exe (также размещенный в архиве).
Троянец собирает информациюо системе (язык, установленный по умолчанию, наличие антивирусов, версию ОС, IP-адрес и т. д.), реквизитыпользовательского доступа и информацию о его действиях.
Кроме того, троянецобеспечивает оператору возможность получения удаленного доступа, манипуляций с файлами, записи нажатий клавиши действий с мышью, а также перехвата скриншотов.
Если жертва открываетопределенные приложения, троянец перекрывает его фальшивым окном и пытаетсявыманить реквизиты доступа к банковским приложениям или одноразовые коды авторизации.Вся собранная информация направляется на контрольный сервер через запросы HTTPPOST.
Как указывают эксперты Cisco, троянец обладаетнесколькими механизмами для противодействия анализу: в частности, он незапускается в изолированных средах или в присутствии отладочных приложений.
В том же архиверасполагается зашифрованный спам-инструмент _upyqta2_J.mdat, который способен красть реквизиты доступа ксетевым почтовым службам: Gmail, Hotmail и Yahoo. Захваченные ящики используются для рассылкиспама всем контактам жертвы.
Этот же инструмент взначительной степени дублирует и функции банковского троянца — перехватдвижений мыши, кейлоггинг и снятие скриншотов.
При всем при этом главную рольв этой «коллекции» играет все-таки Horabot, PowerShell-компонент одноименного ботнета, предназначенныйдля захвата контроля над почтовыми ящиками Outlook и последующей рассылки фишинговых сообщений.
Вредонос производит инвентаризациювсех папок и сообщений в клиенте Outlook, извлекает все адреса, собирает их в один файл иотправляет на контрольный сервер. Локально же создается HTML-файл, который наполняется контентом из внешнегоисточника и рассылается в качестве вложения по всем адресам индивидуальнымпорядком.
После того, как отправказакончена, Horabot удаляет все созданные им файлы и каталоги.
«Примечательно, что жертвеодновременно выгружается сразу целая партия вредоносных программ, выполняющихболее-менее одни и те же функции, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Очевидно, чтозлоумышленники пытались сделать так, чтобы спам и фишинговые письма былиразосланы в любом случае, — не одним троянцем, так другим».
Неджентльменский набор
Эксперты компании Cisco Talos выявили масштабнуюкампанию, нацеленную на испаноязычных пользователей почтовых сервисов Outlook, Gmail, Hotmail и Yahoo в Латинской Америке. Ботнет Horabot уже более двух лет пытается компрометироватьчужие почтовые аккаунты, чтобы красть из них данные и рассылать фишинговыесообщения от лица их обладателей.
В Cisco полагают, что оператор кампании располагается вБразилии.
Заражение начинается сфишингового письма, чья заявленная тема связана с налогами. Во вложениирасполагается HTML-файл — якобы чек оплаты.
Открытие этого файлазапускает серию URL-редиректов, в результате которой жертва оказывается на другой HTML-странице. Та расположенав инстансе облачного сервиса AWS, находящегося под контролем злоумышленника.
Если жертва нажимает напредложенную ссылку, ей в систему скачивается архив RAR, который содержит batch-файл с расширением CMD. Тот, в свою очередь, скачивает скрипт PowerShell, которыйвыкачивает с контрольного сервера злоумышленника архив, содержащий ряд вредоносныхи легитимных файлов, DLL-библиотеки, которые сами по себе являются троянцами, и набор легитимныхисполняемых файлов. Эти файлы пытаются загрузить с другого контрольного серверадва заключительных компонента — скрипт загрузчика PowerShell и двоичный файл Horabot.
Особенности атаки
Любопытно, что один из DLL-файлов, размещенных вархиве, jli.dll, представляет собойбанковский троянец, написанный на языке Delphi. DLL троянца подгружает исполняемый файл kinit.exe (также размещенный в архиве).
Троянец собирает информациюо системе (язык, установленный по умолчанию, наличие антивирусов, версию ОС, IP-адрес и т. д.), реквизитыпользовательского доступа и информацию о его действиях.
Кроме того, троянецобеспечивает оператору возможность получения удаленного доступа, манипуляций с файлами, записи нажатий клавиши действий с мышью, а также перехвата скриншотов.
Если жертва открываетопределенные приложения, троянец перекрывает его фальшивым окном и пытаетсявыманить реквизиты доступа к банковским приложениям или одноразовые коды авторизации.Вся собранная информация направляется на контрольный сервер через запросы HTTPPOST.
Как указывают эксперты Cisco, троянец обладаетнесколькими механизмами для противодействия анализу: в частности, он незапускается в изолированных средах или в присутствии отладочных приложений.
В том же архиверасполагается зашифрованный спам-инструмент _upyqta2_J.mdat, который способен красть реквизиты доступа ксетевым почтовым службам: Gmail, Hotmail и Yahoo. Захваченные ящики используются для рассылкиспама всем контактам жертвы.
Этот же инструмент взначительной степени дублирует и функции банковского троянца — перехватдвижений мыши, кейлоггинг и снятие скриншотов.
Все дело в Horabot
При всем при этом главную рольв этой «коллекции» играет все-таки Horabot, PowerShell-компонент одноименного ботнета, предназначенныйдля захвата контроля над почтовыми ящиками Outlook и последующей рассылки фишинговых сообщений.
Вредонос производит инвентаризациювсех папок и сообщений в клиенте Outlook, извлекает все адреса, собирает их в один файл иотправляет на контрольный сервер. Локально же создается HTML-файл, который наполняется контентом из внешнегоисточника и рассылается в качестве вложения по всем адресам индивидуальнымпорядком.
После того, как отправказакончена, Horabot удаляет все созданные им файлы и каталоги.
«Примечательно, что жертвеодновременно выгружается сразу целая партия вредоносных программ, выполняющихболее-менее одни и те же функции, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Очевидно, чтозлоумышленники пытались сделать так, чтобы спам и фишинговые письма былиразосланы в любом случае, — не одним троянцем, так другим».
