Поделиться
Хакеры воруют почтовые ящики Gmail и MS Outlook, чтобы рассылать от вашего имени фишинговые письма
Новый комплект троянцев перехватывает на ПК своих жертв контроль над почтовыми аккаунтами в разных сервисах, рассылает спам, фишинговые письма и ломает банковские аккаунты.
Неджентльменский набор
Эксперты компании Cisco Talos выявили масштабную кампанию, нацеленную на испаноязычных пользователей почтовых сервисов Outlook, Gmail, Hotmail и Yahoo в Латинской Америке. Ботнет Horabot уже более двух лет пытается компрометировать чужие почтовые аккаунты, чтобы красть из них данные и рассылать фишинговые сообщения от лица их обладателей.
В Cisco полагают, что оператор кампании располагается в Бразилии.
Заражение начинается с фишингового письма, чья заявленная тема связана с налогами. Во вложении располагается HTML-файл — якобы чек оплаты.
Открытие этого файла запускает серию URL-редиректов, в результате которой жертва оказывается на другой HTML-странице. Та расположена в инстансе облачного сервиса AWS, находящегося под контролем злоумышленника.
Если жертва нажимает на предложенную ссылку, ей в систему скачивается архив RAR, который содержит batch-файл с расширением CMD. Тот, в свою очередь, скачивает скрипт PowerShell, который выкачивает с контрольного сервера злоумышленника архив, содержащий ряд вредоносных и легитимных файлов, DLL-библиотеки, которые сами по себе являются троянцами, и набор легитимных исполняемых файлов. Эти файлы пытаются загрузить с другого контрольного сервера два заключительных компонента — скрипт загрузчика PowerShell и двоичный файл Horabot.
Особенности атаки
Любопытно, что один из DLL-файлов, размещенных в архиве, jli.dll, представляет собой банковский троянец, написанный на языке Delphi. DLL троянца подгружает исполняемый файл kinit.exe (также размещенный в архиве).
Троянец собирает информацию о системе (язык, установленный по умолчанию, наличие антивирусов, версию ОС, IP-адрес и т. д.), реквизиты пользовательского доступа и информацию о его действиях.
Кроме того, троянец обеспечивает оператору возможность получения удаленного доступа, манипуляций с файлами, записи нажатий клавиш и действий с мышью, а также перехвата скриншотов.
Если жертва открывает определенные приложения, троянец перекрывает его фальшивым окном и пытается выманить реквизиты доступа к банковским приложениям или одноразовые коды авторизации. Вся собранная информация направляется на контрольный сервер через запросы HTTPPOST.
Как указывают эксперты Cisco, троянец обладает несколькими механизмами для противодействия анализу: в частности, он не запускается в изолированных средах или в присутствии отладочных приложений.
В том же архиве располагается зашифрованный спам-инструмент _upyqta2_J.mdat, который способен красть реквизиты доступа к сетевым почтовым службам: Gmail, Hotmail и Yahoo. Захваченные ящики используются для рассылки спама всем контактам жертвы.
Этот же инструмент в значительной степени дублирует и функции банковского троянца — перехват движений мыши, кейлоггинг и снятие скриншотов.
Все дело в Horabot
При всем при этом главную роль в этой «коллекции» играет все-таки Horabot, PowerShell-компонент одноименного ботнета, предназначенный для захвата контроля над почтовыми ящиками Outlook и последующей рассылки фишинговых сообщений.
Вредонос производит инвентаризацию всех папок и сообщений в клиенте Outlook, извлекает все адреса, собирает их в один файл и отправляет на контрольный сервер. Локально же создается HTML-файл, который наполняется контентом из внешнего источника и рассылается в качестве вложения по всем адресам индивидуальным порядком.
После того, как отправка закончена, Horabot удаляет все созданные им файлы и каталоги.
«Примечательно, что жертве одновременно выгружается сразу целая партия вредоносных программ, выполняющих более-менее одни и те же функции, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Очевидно, что злоумышленники пытались сделать так, чтобы спам и фишинговые письма были разосланы в любом случае, — не одним троянцем, так другим».
Короткая ссылка
