Un groupe de pirates présumés vivant au Brésil utilise un botnet jusqu’alors non identifié pour cibler les boîtes de réception des e-mails des hispanophones à travers les Amériques.
Ce botnet, baptisé « Horabot« , est utilisé dans le cadre d’une campagne qui a débuté en novembre 2020. Il infecte les machines victimes avec un cheval de Troie bancaire et un outil de spam. Les attaquants cherchent principalement à voler les informations d’identification et les données financières des victimes, ainsi qu’à envoyer des e-mails de phishing à tous les contacts validés présents dans la boîte aux lettres de la victime afin de propager l’infection. Un botnet est un groupe d’ordinateurs infectés par des logiciels malveillants, permettant à un pirate de les contrôler à distance.
Ce botnet est particulièrement remarquable car il permet aux pirates de prendre le contrôle de la boîte aux lettres Microsoft Outlook de la victime, d’exfiltrer les adresses e-mail de chaque contact et d’envoyer en masse des e-mails de phishing avec des pièces jointes HTML malveillantes, à partir des propres serveurs de messagerie de l’organisation. Les attaquants utilisent cette technique pour minimiser les risques de détection de leur infrastructure de phishing.
Chetan Raghuprasad, chercheur sur les menaces chez Cisco Talos, a déclaré à Recorded Future News : « Il s’agit d’une technique d’ingénierie sociale efficace qui aide à compromettre les victimes, car les e-mails semblent être envoyés à partir d’une adresse e-mail connue et sont délivrés via un serveur de messagerie légitime d’organisations légitimes. Ces adresses e-mail ou serveurs de messagerie sont généralement inscrits sur la liste blanche et passent par les vérifications SPF (Sender Policy Framework) sur les serveurs de messagerie de l’organisation du destinataire. De plus, il devient difficile pour les défenseurs de suivre l’infrastructure de phishing de l’attaquant et de bloquer ces e-mails.«
Des pirates situés au Brésil
Le domaine utilisé pour héberger les outils des attaquants et les données exfiltrées était associé à une personne basée dans ce pays.
Le nom de domaine ressemblait au domaine légitime de l’agence fiscale mexicaine, une tactique que l’attaquant a probablement adoptée pour dissimuler le trafic malveillant.
La campagne vise principalement des personnes au Mexique, mais des infections ont également été observées en Uruguay, au Brésil, au Venezuela, en Argentine, au Guatemala et au Panama.
Les courriels de phishing analysés par les chercheurs indiquent que le groupe cible des organisations de divers secteurs d’activité, notamment la comptabilité, la construction, l’ingénierie, l’investissement et la distribution en gros.
Le malware bancaire utilisé dans le cadre de cette campagne vise à collecter les identifiants de connexion des victimes pour divers comptes en ligne, ainsi que des informations sur leur système d’exploitation et même des frappes au clavier.
Les chercheurs ont également constaté que le cheval de Troie est capable de voler des codes de sécurité à usage unique ou des jetons logiciels souvent utilisés par les applications bancaires en ligne pour vérifier les utilisateurs.
En plus de cibler les boîtes de réception Outlook, cet outil de spam compromet également les comptes de messagerie Web Yahoo et Gmail, permettant aux attaquants de prendre le contrôle de ces boîtes aux lettres, d’exfiltrer les adresses e-mail des contacts et d’envoyer du spam.
Une cyber attaque réfléchie
L’infrastructure utilisée par les pirates a été enregistrée en novembre 2020, ce qui suggère une date possible de début de la campagne.
L’attaque commence généralement par un e-mail de phishing en espagnol sur le thème de l’impôt sur le revenu. L’e-mail prétend être une notification de reçu fiscal et incite les victimes à ouvrir la pièce jointe HTML malveillante.
Une fois ouverte, la pièce jointe HTML redirige la victime vers une autre page HTML malveillante. Les victimes sont ensuite invitées à cliquer sur un lien intégré qui télécharge un fichier RAR.
Lorsque le fichier RAR est ouvert, plusieurs fichiers sont téléchargés, ce qui provoque le redémarrage de la machine après 10 secondes. Au moins l’un de ces fichiers malveillants est rendu légitime en utilisant l’icône Internet Explorer.
Les charges utiles utilisées par les attaquants dans cette campagne sont conçues pour voler des informations sensibles, échapper à la détection et diffuser des e-mails de phishing supplémentaires aux contacts de la victime.
« Le cheval de Troie bancaire cible des informations sensibles telles que les identifiants de connexion et les codes de sécurité des transactions financières, enregistre les frappes au clavier et manipule les données du presse-papiers de la machine victime. Le cheval de Troie possède également des capacités d’anti-analyse et d’anti-détection pour échapper aux environnements de bac à sable et virtuels.«
Les chercheurs ont noté que le module bancaire de ce cheval de Troie utilise des techniques similaires à celles des chevaux de Troie bancaires brésiliens signalés précédemment par d’autres chercheurs en sécurité chez ESET et Check Point.
En outre, ce cheval de Troie possède des capacités de gestion de bureau à distance, permettant aux pirates de créer et de supprimer des répertoires, de télécharger des fichiers, et bien plus encore.