Operasi Horabot yang baru ini ditemukan oleh para analis di Cisco Talos, yang melaporkan bahwa pelaku ancaman di baliknya kemungkinan berbasis di Brasil.
Rantai infeksi dengan beberapa tahap dimulai dengan email phishing berisi tema pajak yang dikirim kepada target, dengan lampiran HTML yang seolah-olah merupakan tanda terima pembayaran.
Membuka file HTML tersebut akan memicu rangkaian pengalihan URL yang mengarahkan korban ke halaman HTML yang dihosting pada instansi AWS yang dikendalikan oleh penyerang.
Korban mengklik hyperlink pada halaman tersebut dan mengunduh sebuah arsip RAR yang berisi file batch dengan ekstensi CMD, yang kemudian mengunduh sebuah skrip PowerShell yang mengambil DLL trojan dan serangkaian file eksekusi yang sah dari server C2.
Trojan-trojan ini dijalankan untuk mengambil dua payload terakhir dari server C2 yang berbeda. Salah satunya adalah skrip pengunduh PowerShell, dan yang lainnya adalah binary Horabot.
Payload utama yang dijatuhkan ke sistem korban adalah Horabot, sebuah botnet berbasis PowerShell yang terdokumentasi dan mengincar kotak surat Outlook korban untuk mencuri kontak dan menyebarkan email phishing yang berisi lampiran HTML berbahaya.
Malware ini menjalankan aplikasi desktop Outlook korban untuk memeriksa buku alamat dan kontak dari isi inbox.
Semua alamat email yang diekstraksi ditulis ke dalam file “.Outlook” dan kemudian dienkripsi dan dieksfiltrasi ke server C2.
Terakhir, malware ini membuat sebuah file HTML secara lokal, mengisinya dengan konten yang disalin dari sumber eksternal, dan mengirimkan email phishing ke semua alamat email yang diekstraksi secara individu.
Setelah proses distribusi email phishing selesai, file dan folder yang dibuat secara lokal dihapus untuk menghapus jejak-jejak yang ada.
Selengkapnya: Bleeping Computer
