HackerNews 编译，转载请注明出处： 一场多管齐下的网络钓鱼活动，正瞄准拉丁美洲和欧洲各组织中讲西班牙语的用户，通过一款名为 Horabot 的恶意软件，投放诸如卡斯巴内罗（又名 Metamorfo）之类的 Windows 银行木马。 该活动被认为是由一个被追踪为 “增强掠夺者”（Augmented Marauder）和 “水萨西”（Water Saci）的巴西网络犯罪威胁行为者发起。趋势科技在 2025 年 10 月首次记录了这个电子犯罪组织。 蓝维安特（BlueVoyant）安全研究员托马斯・埃尔金斯（Thomas Elkins）和约书亚・格林（Joshua Green）在周二发布的一份技术分析报告中表示：“这个威胁组织采用了一种更广泛的攻击模式，专注于定制化的投递和传播机制，其中包括 WhatsApp、ClickFix 技术，以及以电子邮件为中心的网络钓鱼。” “现在很明显，虽然这些巴西的攻击者大量利用基于脚本的 WhatsApp 自动化程序，来攻击拉丁美洲的零售和消费者用户，但他们同时也维护并部署了一个先进的电子邮件劫持引擎，以渗透拉丁美洲和欧洲的企业网络。” 此次活动始于一封网络钓鱼邮件，邮件采用法院传票主题的内容，诱骗收件人打开一个受密码保护的 PDF 附件。点击文档中嵌入的链接会将受害者引导至恶意链接，并自动下载一个 ZIP 压缩文件，进而导致临时 HTML 应用程序（HTA）和 VBS 有效载荷的执行。 VBS 脚本旨在进行与 Horabot 类似的环境和反分析检查，包括对 Avast 杀毒软件的检测，随后从远程服务器检索下一阶段的有效载荷。下载的文件中包含基于 AutoIt 的加载器，每个加载器会提取并运行扩展名为 “.ia” 或 “.at” 的加密有效载荷文件，最终启动两个恶意软件家族：卡斯巴内罗（“staticdata.dll”）和 Horabot（“at.dll”）。 虽然卡斯巴内罗是主要的有效载荷，但 Horabot 被用作恶意软件的传播机制。卡斯巴内罗的 Delphi DLL 模块会连接到命令与控制（C2）服务器，获取一个 PowerShell 脚本，该脚本利用 Horabot 通过网络钓鱼邮件，将恶意软件分发给从微软 Outlook 获取的联系人。 蓝维安特称：“与早期 Horabot 活动中分发静态文件或硬编码链接不同，这个脚本会向远程 PHP API（hxxps://tt.grupobedfs [.] com/…/gera_pdf.php）发起 HTTP POST 请求，并传递一个随机生成的四位 PIN 码。” “服务器会动态伪造一份定制的、受密码保护的 PDF 文件，伪装成西班牙司法传票，然后返回给受感染主机。接着，脚本会遍历筛选后的电子邮件列表，利用被入侵用户自己的电子邮件账户发送一封定制的网络钓鱼邮件，并附上新生成的 PDF 文件。” 同时使用的还有一个与 Horabot 相关的辅助 DLL（“at.dll”），它作为垃圾邮件和账户劫持工具，针对雅虎、Live 和 Gmail 账户，通过 Outlook 发送网络钓鱼邮件。据评估，至少从 2020 年 11 月起，Horabot 就被用于针对拉丁美洲的攻击。 “水萨西” 曾利用 WhatsApp Web 作为传播载体，以类似蠕虫的方式传播像 Maverick 和卡斯巴内罗这样的银行木马。然而，卡巴斯基强调的近期活动则利用了 ClickFix 社会工程策略，诱骗用户运行恶意 HTA 文件，最终目的是部署卡斯巴内罗和 Horabot 传播器。 研究人员总结道：“ClickFix 社会工程策略、动态 PDF 生成以及 WhatsApp 自动化的结合，表明攻击者十分灵活，不断创新并实施多种攻击路径，以绕过现代安全控制。” “该攻击者维持着一种双叉、多管齐下的攻击架构，动态部署以 WhatsApp 为中心的 Maverick 链条，同时利用 ClickFix 和基于电子邮件的 Horabot 攻击路径。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一场新的钓鱼攻击活动，旨在通过名为Horabot的恶意软件针对墨西哥、危地马拉、哥伦比亚、秘鲁、智利和阿根廷等拉丁美洲国家的Windows用户。 Fortinet FortiGuard Labs研究员Cara Lin表示，该活动“通过伪造发票或财务文档的精心设计邮件诱骗受害者打开恶意附件，能够窃取邮箱凭证、收集联系人列表并安装银行木马”。 该网络安全公司于2025年4月观测到这一活动，主要针对西班牙语用户。攻击还被发现利用Outlook COM自动化功能从受害者邮箱发送钓鱼信息，从而在企业或个人网络内部横向传播恶意软件。 攻击者通过执行多种VBScript、AutoIt和PowerShell脚本进行系统侦察、凭证窃取及投放额外恶意载荷。Horabot最早由思科Talos于2023年6月记录为针对拉丁美洲西班牙语用户的威胁，其攻击活动可追溯至至少2020年11月，评估认为攻击者来自巴西。 去年Trustwave SpiderLabs披露了另一起针对同一地区的钓鱼活动，其恶意载荷与Horabot存在相似性。 最新攻击始于以发票为诱饵的钓鱼邮件，诱使用户打开包含PDF文档的ZIP压缩包。实际上该ZIP文件内含恶意HTML文件，其中包含Base64编码的HTML数据，用于连接远程服务器下载第二阶段的恶意载荷。 第二阶段载荷是另一个包含HTML应用程序（HTA）文件的ZIP压缩包，该文件负责加载远程服务器托管的脚本。脚本随后注入外部VBScript代码，执行系列检测——若系统安装Avast杀毒软件或处于虚拟环境则终止攻击。 VBScript继续收集基础系统信息并外传至远程服务器，同时获取额外载荷，包括通过恶意DLL释放银行木马的AutoIt脚本，以及扫描Outlook联系人数据构建目标邮箱列表后传播钓鱼邮件的PowerShell脚本。 Cara Lin表示：“恶意软件随后从Brave、Yandex、Epic Privacy Browser、Comodo Dragon、Cent Browser、Opera、Microsoft Edge和Google Chrome等浏览器窃取相关数据。除数据窃取外，Horabot还监控受害者行为，注入伪造弹窗以窃取敏感登录凭证。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文