Horabotマルウェアがメキシコを標的とした非常にアクティブなキャンペーンで再び出現し、Delphiバンキングトロイの木馬と自動メール送信機を組み合わせたマルチステージ感染チェーンを利用しています。
Securelistのセキュリティアナリストが、金銭目的の脅威が2025年5月以来5,380人以上の被害者を侵害し、脅迫者が偽のCAPTCHAページを利用してユーザーに悪意のあるコマンドを実行させていることを明らかにしました。
攻撃シーケンスは従来のソフトウェアエクスプロイトをバイパスし、ソーシャルエンジニアリングを使用してWindows実行ダイアログに悪意のあるMSHTAコマンドを貼り付けるように被害者をだましています。
このコマンドはJavaScriptローダーを含む小さなHTAファイルを取得し、その後、攻撃者が制御するドメインから難読化されたVBScriptを動的に取得します。
シグネチャベースの検出を回避するため、脅迫者はサーバー側ポリモーフィズムを実装し、VBScriptへのすべてのリクエストがコア機能を維持しながらコードのわずかに変更されたバージョンを返すようにしています。
より複雑な2次VBScriptは、システム偵察を実施し、Windowsスタートアップフォルダ内のショートカットを介して永続性を確立することで、負荷の大部分を処理します。
このスクリプトは、実行可能ファイル、コンパイラー、および暗号化されたblobファイルを含むAutoITコンポーネントを、侵害されたディスクに直接ダウンロードします。
AutoITスクリプトはAES-192 blobをメモリに復号化し、CasbaneiroまたはMetamorfoとして知られるDelphiベースのバンキングトロイの木馬を明らかにします。
ポルトガル語のコードコメントを通じてブラジルとの強い関係を示す攻撃者は、このトロイの木馬を使用して、認証情報を盗むための偽のバンクオーバーレイポップアップを表示します。
同時に、PowerShellベースのスプレッダーは、MAPIネームスペース経由で被害者のメール連絡先を収集し、スペイン語のフィッシングメールを大量配信し、悪意のあるPDF添付ファイルを使用して新しい被害者を罠にかけます。
Horabotは、コマンドを構造化されたタグでラップするカスタムTCPプロトコルを使用して、コマンドアンドコントロールサーバーと通信します。
SecureListのステートフルXOR暗号がネットワークトラフィックを保護します。ただし、出力は二重ハッシュマーカー(##)で独自にフレーム化され、非常に予測可能で反復的な構造を作成します。
この構造的欠陥により、ネットワークディフェンダーは標準的な侵入検知システム(IDS)とSuricataルールを使用して悪意のあるトラフィックを簡単に識別できます。
セキュリティチームは、信頼できないソースからのHTAファイルの実行を直ちにブロックし、異常なMSHTAアクティビティについて環境を監視する必要があります。以下の表は、このキャンペーンに関連する侵害の主要な指標の詳細を示しています。
翻訳元: https://cyberpress.org/horabot-returns-in-mexico/