برنامج Horabot الخبيث يستهدف 6 دول في أمريكا اللاتينية عبر رسائل تصيد تحمل فاتورة مزيفة

برنامج Horabot الخبيث يستهدف 6 دول في أمريكا اللاتينية عبر رسائل تصيد تحمل فاتورة مزيفة
برنامج Horabot الخبيث يستهدف 6 دول في أمريكا اللاتينية عبر رسائل تصيد تحمل فاتورة مزيفة
شارك هذا الخبر

كشف باحثون في الأمن السيبراني عن حملة تصيد إلكتروني جديدة توزع برنامجًا ضارًا يُعرف باسم Horabot، يستهدف مستخدمي ويندوز في ست دول بأمريكا اللاتينية، وهي:

  • المكسيك

  • غواتيمالا

  • كولومبيا

  • بيرو

  • تشيلي

  • الأرجنتين

كيف تعمل الحملة؟

وفقًا لشركة Fortinet FortiGuard Labs، تعتمد هذه الهجمات على:

  1. رسائل بريد إلكتروني مزيفة تتظاهر بأنها فواتير أو مستندات مالية لخداع الضحايا.

  2. عند فتح المرفقات الضارة، يتم سرقة بيانات الاعتماد البريدية، وجمع قوائم جهات الاتصال، وحتى تثبيت برامج احتيالية مصرفية (Banking Trojans).

  3. يتم إرسال رسائل تصيد إضافية من صناديق بريد الضحايا باستخدام أتمتة Outlook COM، مما يساعد في انتشار البرنامج الخبيث داخل الشبكات المؤسسية أو الشخصية.

تفاصيل تقنية عن هورابوت (Horabot)

  • اكتُشف لأول مرة في يونيو 2023 من قبل Cisco Talos، وكان يستهدف متحدثي الإسبانية منذ نوفمبر 2020.

  • يُعتقد أن الجهة الخبيثة وراء الهجمات تنتمي إلى البرازيل.

  • في 2024، كشفت Trustwave SpiderLabs عن حملة تصيد مماثلة تستخدم حمولات ضارة تشبه Horabot.

آلية الهجوم خطوة بخطوة

  1. المرحلة الأولى:

    • يصل الضحية بريد إلكتروني تصيد بعنوان فاتورة أو مستند مالي.

    • يحتوي المرفق على ملف ZIP بداخله مستند HTML خبيث مُشفّر بـ Base64 يتصل بخادم بعيد لتنزيل الحمولة التالية.

  2. المرحلة الثانية:

    • يتم تحميل ملف HTA (تطبيق HTML) الذي يقوم بدوره بتنزيل سكربت من خادم خارجي.

    • يُحقن السكربت كود VBScript يتحقق مما إذا كان النظام يعمل على بيئة افتراضية (Virtual Machine) أو يوجد عليه برنامج Avast المضاد للفيروسات (في هذه الحالة يتوقف التنفيذ).

  3. المرحلة النهائية:

    • يجمع البرنامج معلومات النظام ويُرسلها إلى المهاجمين.

    • يقوم بتنزيل سكربت AutoIt الذي يحمل DLL خبيثة (برنامج احتيالي مصرفي).

    • يُنشئ قائمة بعناوين البريد الإلكتروني من جهات اتصال Outlook ليرسل رسائل تصيد جديدة.

ما الذي يسرقه البرنامج؟

  • بيانات الاعتماد من المتصفحات مثل:

    • Chrome, Edge, Opera, Brave, Yandex

    • Epic Privacy Browser, Comodo Dragon, Cent Browser

  • حسابات البريد الإلكتروني عبر حقن نوافذ مزيفة تسجل كلمات المرور.

توصيات أمنية عاجلة

  1. عدم فتح مرفقات البريد الإلكتروني المشبوهة، خاصةً تلك التي تدعي أنها فواتير.

  2. تفعيل المصادقة الثنائية (2FA) على حسابات البريد والخدمات المالية.

  3. استخدام برامج مكافحة فيروسات محدثة لاكتشاف البرمجيات الخبيثة.

  4. فحص رسائل البريد الواردة من عناوين غير معروفة عبر أدوات مثل VirusTotal.

  5. توعية الموظفين في الشركات حول مخاطر التصيد الإلكتروني.

 لماذا يُعد هورابوت خطرًا؟

يستهدف Horabot بشكل متكرر المؤسسات والأفراد في أمريكا اللاتينية عبر أساليب احتيالية متطورة، مما يجعله تهديدًا كبيرًا لسرقة البيانات المالية والحسابات الحساسة. التحديثات الأمنية والوعي بالهجمات الإلكترونية هما أفضل دفاع ضد مثل هذه التهديدات.

وسوم
محمد وهبى
محمد وهبى
المقالات: 220

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة