网络安全研究人员发现了一场新的钓鱼攻击活动,旨在通过名为Horabot的恶意软件针对墨西哥、危地马拉、哥伦比亚、秘鲁、智利和阿根廷等拉丁美洲国家的Windows用户。
Fortinet FortiGuard Labs研究员Cara Lin表示,该活动“通过伪造发票或财务文档的精心设计邮件诱骗受害者打开恶意附件,能够窃取邮箱凭证、收集联系人列表并安装银行木马”。
该网络安全公司于2025年4月观测到这一活动,主要针对西班牙语用户。攻击还被发现利用Outlook COM自动化功能从受害者邮箱发送钓鱼信息,从而在企业或个人网络内部横向传播恶意软件。
攻击者通过执行多种VBScript、AutoIt和PowerShell脚本进行系统侦察、凭证窃取及投放额外恶意载荷。Horabot最早由思科Talos于2023年6月记录为针对拉丁美洲西班牙语用户的威胁,其攻击活动可追溯至至少2020年11月,评估认为攻击者来自巴西。
去年Trustwave SpiderLabs披露了另一起针对同一地区的钓鱼活动,其恶意载荷与Horabot存在相似性。
最新攻击始于以发票为诱饵的钓鱼邮件,诱使用户打开包含PDF文档的ZIP压缩包。实际上该ZIP文件内含恶意HTML文件,其中包含Base64编码的HTML数据,用于连接远程服务器下载第二阶段的恶意载荷。
第二阶段载荷是另一个包含HTML应用程序(HTA)文件的ZIP压缩包,该文件负责加载远程服务器托管的脚本。脚本随后注入外部VBScript代码,执行系列检测——若系统安装Avast杀毒软件或处于虚拟环境则终止攻击。
VBScript继续收集基础系统信息并外传至远程服务器,同时获取额外载荷,包括通过恶意DLL释放银行木马的AutoIt脚本,以及扫描Outlook联系人数据构建目标邮箱列表后传播钓鱼邮件的PowerShell脚本。
Cara Lin表示:“恶意软件随后从Brave、Yandex、Epic Privacy Browser、Comodo Dragon、Cent Browser、Opera、Microsoft Edge和Google Chrome等浏览器窃取相关数据。除数据窃取外,Horabot还监控受害者行为,注入伪造弹窗以窃取敏感登录凭证。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容