HackerNews 编译,转载请注明出处:
一场多管齐下的网络钓鱼活动,正瞄准拉丁美洲和欧洲各组织中讲西班牙语的用户,通过一款名为 Horabot 的恶意软件,投放诸如卡斯巴内罗(又名 Metamorfo)之类的 Windows 银行木马。
该活动被认为是由一个被追踪为 “增强掠夺者”(Augmented Marauder)和 “水萨西”(Water Saci)的巴西网络犯罪威胁行为者发起。趋势科技在 2025 年 10 月首次记录了这个电子犯罪组织。
蓝维安特(BlueVoyant)安全研究员托马斯・埃尔金斯(Thomas Elkins)和约书亚・格林(Joshua Green)在周二发布的一份技术分析报告中表示:“这个威胁组织采用了一种更广泛的攻击模式,专注于定制化的投递和传播机制,其中包括 WhatsApp、ClickFix 技术,以及以电子邮件为中心的网络钓鱼。”
“现在很明显,虽然这些巴西的攻击者大量利用基于脚本的 WhatsApp 自动化程序,来攻击拉丁美洲的零售和消费者用户,但他们同时也维护并部署了一个先进的电子邮件劫持引擎,以渗透拉丁美洲和欧洲的企业网络。”
此次活动始于一封网络钓鱼邮件,邮件采用法院传票主题的内容,诱骗收件人打开一个受密码保护的 PDF 附件。点击文档中嵌入的链接会将受害者引导至恶意链接,并自动下载一个 ZIP 压缩文件,进而导致临时 HTML 应用程序(HTA)和 VBS 有效载荷的执行。
VBS 脚本旨在进行与 Horabot 类似的环境和反分析检查,包括对 Avast 杀毒软件的检测,随后从远程服务器检索下一阶段的有效载荷。下载的文件中包含基于 AutoIt 的加载器,每个加载器会提取并运行扩展名为 “.ia” 或 “.at” 的加密有效载荷文件,最终启动两个恶意软件家族:卡斯巴内罗(“staticdata.dll”)和 Horabot(“at.dll”)。
虽然卡斯巴内罗是主要的有效载荷,但 Horabot 被用作恶意软件的传播机制。卡斯巴内罗的 Delphi DLL 模块会连接到命令与控制(C2)服务器,获取一个 PowerShell 脚本,该脚本利用 Horabot 通过网络钓鱼邮件,将恶意软件分发给从微软 Outlook 获取的联系人。
蓝维安特称:“与早期 Horabot 活动中分发静态文件或硬编码链接不同,这个脚本会向远程 PHP API(hxxps://tt.grupobedfs [.] com/…/gera_pdf.php)发起 HTTP POST 请求,并传递一个随机生成的四位 PIN 码。”
“服务器会动态伪造一份定制的、受密码保护的 PDF 文件,伪装成西班牙司法传票,然后返回给受感染主机。接着,脚本会遍历筛选后的电子邮件列表,利用被入侵用户自己的电子邮件账户发送一封定制的网络钓鱼邮件,并附上新生成的 PDF 文件。”
同时使用的还有一个与 Horabot 相关的辅助 DLL(“at.dll”),它作为垃圾邮件和账户劫持工具,针对雅虎、Live 和 Gmail 账户,通过 Outlook 发送网络钓鱼邮件。据评估,至少从 2020 年 11 月起,Horabot 就被用于针对拉丁美洲的攻击。
“水萨西” 曾利用 WhatsApp Web 作为传播载体,以类似蠕虫的方式传播像 Maverick 和卡斯巴内罗这样的银行木马。然而,卡巴斯基强调的近期活动则利用了 ClickFix 社会工程策略,诱骗用户运行恶意 HTA 文件,最终目的是部署卡斯巴内罗和 Horabot 传播器。
研究人员总结道:“ClickFix 社会工程策略、动态 PDF 生成以及 WhatsApp 自动化的结合,表明攻击者十分灵活,不断创新并实施多种攻击路径,以绕过现代安全控制。”
“该攻击者维持着一种双叉、多管齐下的攻击架构,动态部署以 WhatsApp 为中心的 Maverick 链条,同时利用 ClickFix 和基于电子邮件的 Horabot 攻击路径。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文