Một chiến dịch chưa biết trước đây liên quan đến phần mềm độc hại botnet Hotabot đã nhắm mục tiêu đến người dùng nói tiếng Tây Ban Nha ở Mỹ Latinh kể từ ít nhất là tháng 11 năm 2020, lây nhiễm cho họ một trojan ngân hàng và công cụ spam.
Phần mềm độc hại cho phép người điều hành kiểm soát tài khoản email Gmail, Outlook, Hotmail hoặc Yahoo của nạn nhân, đánh cắp dữ liệu email và mã 2FA đến hộp thư đến và gửi email lừa đảo từ các tài khoản bị xâm nhập.
Hoạt động mới của Horabot được phát hiện bởi các nhà phân tích tại Cisco Talos, người đã báo cáo rằng tác nhân đe dọa đằng sau nó có thể có trụ sở tại Brazil.
Chuỗi lây nhiễm nhiều giai đoạn bắt đầu bằng một email lừa đảo có chủ đề về thuế được gửi đến mục tiêu, với tệp đính kèm HTML được cho là biên lai thanh toán.
Việc mở HTML sẽ khởi chạy chuỗi chuyển hướng URL đưa nạn nhân đến một trang HTML được lưu trữ trên phiên bản AWS do kẻ tấn công kiểm soát.
Trang độc hại được lưu trữ trên AWS
Nạn nhân nhấp vào siêu liên kết trên trang và tải xuống tệp lưu trữ RAR chứa tệp bó có phần mở rộng CMD, tải xuống tập lệnh PowerShell tìm nạp tệp DLL trojan và một bộ tệp thực thi hợp pháp từ máy chủ C2.
Các trojan này thực thi để tìm nạp hai tải trọng cuối cùng từ một máy chủ C2 khác. Một là tập lệnh tải xuống PowerShell và cái còn lại là tệp nhị phân Horabot.
Sơ đồ chuỗi lây nhiễm
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.