Une campagne auparavant inconnue impliquant le malware Hotabot botnet a ciblé les utilisateurs hispanophones d’Amérique latine depuis au moins novembre 2020, les infectant avec un cheval de Troie bancaire et un outil de spam.
Le logiciel malveillant permet aux opérateurs de prendre le contrôle des comptes de messagerie Gmail, Outlook, Hotmail ou Yahoo de la victime, de voler les données de messagerie et les codes 2FA arrivant dans la boîte de réception et d’envoyer des e-mails de phishing à partir des comptes compromis.
La nouvelle opération Horabot a été découverte par des analystes de Cisco Talos, qui rapportent que l’acteur de la menace derrière elle est probablement basé au Brésil.
Commence par l’hameçonnage
La chaîne d’infection en plusieurs étapes commence par un e-mail de phishing à thème fiscal envoyé à la cible, avec une pièce jointe HTML qui est censée être un reçu de paiement.
L’ouverture du code HTML lance une chaîne de redirection d’URL qui redirige la victime vers une page HTML hébergée sur une instance AWS contrôlée par l’attaquant.
La victime clique sur le lien hypertexte de la page et télécharge une archive RAR contenant un fichier de commandes avec une extension CMD, qui télécharge un script PowerShell qui récupère les DLL de cheval de Troie et un ensemble d’exécutables légitimes à partir du serveur C2.
Ces chevaux de Troie s’exécutent pour récupérer les deux charges utiles finales d’un serveur C2 différent. L’un est un script de téléchargement PowerShell et l’autre est le binaire Horabot.
Cheval de Troie bancaire
L’un des fichiers DLL du ZIP téléchargé, « jli.dll », qui est chargé par l’exécutable « kinit.exe », est un cheval de Troie bancaire écrit en Delphi.
Il cible les informations système (langue, taille du disque, logiciel antivirus, nom d’hôte, version du système d’exploitation, adresse IP), les informations d’identification de l’utilisateur et les données d’activité.
De plus, le cheval de Troie offre également à ses opérateurs des capacités d’accès à distance telles que l’exécution d’actions sur les fichiers et peut également effectuer un enregistrement de frappe, une capture d’écran et un suivi des événements de la souris.
Lorsque la victime ouvre une application, le cheval de Troie recouvre une fausse fenêtre pour inciter les victimes à saisir des données sensibles telles que les identifiants de compte bancaire en ligne ou les codes à usage unique.
Toutes les informations collectées sur l’ordinateur de la victime sont envoyées au serveur de commande et de contrôle de l’attaquant via des requêtes HTTP POST.
Cisco explique que le cheval de Troie dispose de plusieurs mécanismes anti-analyse intégrés pour l’empêcher de s’exécuter dans des bacs à sable ou aux côtés de débogueurs.
L’archive ZIP contient également une DLL d’outil de spam cryptée nommée « _upyqta2_J.mdat », conçue pour voler les informations d’identification des services de messagerie Web populaires tels que Gmail, Hotmail et Yahoo.
Une fois les informations d’identification compromises, l’outil prend en charge le compte de messagerie de la victime, génère des spams et les envoie aux contacts trouvés dans la boîte aux lettres de la victime, favorisant l’infection de manière quelque peu aléatoire.
Cet outil propose également des fonctionnalités d’enregistrement de frappe, de capture d’écran et d’interception ou de suivi d’événements de souris, chevauchant fonctionnellement le cheval de Troie bancaire, éventuellement pour la redondance.
Horabot
La charge utile principale déposée sur le système de la victime est Horabot, un botnet documenté basé sur PowerShell qui cible les boîtes aux lettres Outlook de la victime pour voler des contacts et diffuser des e-mails de phishing contenant des pièces jointes HTML malveillantes.
Le logiciel malveillant lance l’application Outlook de bureau de la victime pour examiner le carnet d’adresses et les contacts à partir du contenu de la boîte aux lettres.
« Après l’initialisation, le script [Horabot] recherche les fichiers de données Outlook dans le dossier de données de l’application Outlook du profil de la victime », explique Cisco dans le rapport.
« Il énumère tous les dossiers et e-mails du fichier de données Outlook de la victime et extrait les adresses e-mail des champs expéditeur, destinataires, CC et BCC des e-mails. »
Toutes les adresses e-mail extraites sont écrites dans un fichier « .Outlook » puis encodées et exfiltrées vers le serveur C2.
Enfin, le logiciel malveillant crée un fichier HTML localement, le remplit avec du contenu copié à partir d’une ressource externe et envoie des e-mails de phishing à toutes les adresses e-mail extraites individuellement.
Lorsque le processus de distribution d’e-mails de phishing est terminé, les fichiers et dossiers créés localement sont supprimés pour effacer toute trace.
Bien que cette campagne Horabot cible principalement les utilisateurs au Mexique, en Uruguay, au Brésil, au Venezuela, en Argentine, au Guatemala et au Panama, les mêmes acteurs de la menace ou des acteurs collaborant pourraient étendre sa portée à d’autres marchés à tout moment, en utilisant des thèmes de phishing écrits en anglais.