Ova nova malware kampanja može da otme vaš Gmail ili Outlook email nalog

Istraživači sajber bezbednosti iz kompanije Cisco Talos uočili su novu hakersku kampanju za koju tvrde da cilja osetljive podatke žrtava, akreditive za prijavu i email inbox-e.

Gmail inbox se koristi za slanje nepoželjnih i phishing poruka

Horabot je opisan kao botnet koji je aktivan skoro dve i po godine (prvi put primećen u novembru 2020.). Tokom tog vremena, uglavnom je imao zadatak da distribuira bankarski trojanac i spam malver.

Čini se da su njegovi operateri locirani u Brazilu, dok su žrtve korisnici koji govore španski koji se nalaze uglavnom u Meksiku, Urugvaju, Venecueli, Brazilu, Panami, Argentini i Gvatemali.

Horabot botnet

Žrtve se nalaze u različitim industrijama, od investicionih firmi do veleprodaje, od građevinarstva do inženjeringa i računovodstva. Napad počinje emailom koji sadrži zlonamerni HTML prilog. Na kraju, žrtva se poziva da preuzme .RAR arhivu u kojoj se nalazi bankarski trojanac.

Zlonamerni softver je sposoban da uradi mnogo stvari: da ukrade akreditive za prijavu, evidentira pritisak na tastere i uhvati sistemske informacije. Generisanjem nevidljivog preklapanja, takođe je sposoban da preuzme jednokratne bezbednosne kodove iz aplikacija za višefaktorsku autentifikaciju (MFA), u suštini zaobilazeći ovaj ključni sloj bezbednosti.

Takođe, trojanac može da preuzme email naloge žrtava, uključujući one iz Outlooka, Gmail-a i Yahoo-a. Akteri pretnji bi zatim koristili ovaj pristup za slanje neželjenih poruka svim kontaktima sačuvanim u prijemnom sandučetu, čineći njihov lanac distribucije i infekcije donekle nasumičnim i neciljanim. Do neke mere, trojanac takođe funkcioniše kao remote desktop alatka, jer može da kreira i briše direktorijume i fajlove sa krajnje tačke žrtve, rekli su istraživači.

Konačno, alat ima nekoliko funkcija zamagljivanja koje ga sprečavaju da radi u sandbox okruženju ili pored alata za otklanjanje grešaka, što otežava otkrivanje i naknadnu analizu.

Izvor: Techradar