นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบแคมเปญฟิชชิงรูปแบบใหม่ที่ใช้ในการแพร่กระจายมัลแวร์ที่ชื่อว่า Horabot โดยมีเป้าหมายโจมตีผู้ใช้ระบบปฏิบัติการ Windows ในประเทศแถบละตินอเมริกา เช่น เม็กซิโก, กัวเตมาลา, โคลอมเบีย, เปรู, ชิลี และอาร์เจนตินา
Cara Lin นักวิจัยจาก Fortinet FortiGuard Labs ระบุว่า แคมเปญนี้ "ใช้การสร้างอีเมลปลอมที่แอบอ้างว่าเป็นใบแจ้งหนี้ หรือเอกสารทางการเงิน เพื่อหลอกล่อให้เหยื่อเปิดไฟล์แนบที่เป็นอันตราย ซึ่งสามารถขโมยข้อมูล credentials ของอีเมล, รายชื่อผู้ติดต่อ และติดตั้ง banking trojans ได้"
การโจมตีดังกล่าว ถูกตรวจพบโดยบริษัทรักษาความปลอดภัยด้านเครือข่ายในเดือนเมษายน ปี 2025 โดยได้มุ่งเป้าไปที่ผู้ใช้งานที่ใช้ภาษาสเปนเป็นหลัก นอกจากนี้ยังพบว่าการโจมตีดังกล่าวมีการส่งข้อความฟิชชิ่งจากกล่องจดหมายของเหยื่อโดยใช้เทคนิค Outlook COM automation ซึ่งเป็นการแพร่กระจายมัลแวร์ภายในเครือข่ายขององค์กร หรือเครือข่ายส่วนบุคคลอย่างมีประสิทธิภาพ
นอกจากนี้ กลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังแคมเปญนี้ยังใช้สคริปต์หลายรูปแบบ เช่น VBScript, AutoIt และ PowerShell เพื่อทำการสำรวจระบบ, ขโมยข้อมูล credentials และติดตั้ง payloads อื่น ๆ เพิ่มเติม
Horabot ถูกพบครั้งแรกโดย Cisco Talos ในเดือนมิถุนายน 2023 โดยพบว่าได้โจมตีผู้ใช้งานที่ใช้ภาษาสเปนในละตินอเมริกามาตั้งแต่เดือนพฤศจิกายน 2020 เป็นต้นมา และมีการประเมินว่าเป็นฝีมือของกลุ่มผู้ไม่หวังดีจากประเทศบราซิล
ในปีถัดมา Trustwave SpiderLabs ได้เปิดเผยรายละเอียดของแคมเปญฟิชชิงอีกชุดหนึ่งที่มีเป้าหมายในภูมิภาคเดียวกัน โดยมี payloads ที่เป็นอันตราย ซึ่งมีลักษณะคล้ายคลึงกับมัลแวร์ Horabot
การโจมตีล่าสุดเริ่มต้นด้วยอีเมลฟิชชิ่งที่ใช้เหยื่อล่อในรูปแบบของใบแจ้งหนี้ เพื่อจูงใจให้ผู้ใช้เปิดไฟล์ ZIP ที่แนบมาซึ่งดูเหมือนจะเป็นเอกสาร PDF แต่ในความเป็นจริงแล้ว ไฟล์ ZIP ดังกล่าวประกอบด้วยไฟล์ HTML ที่เป็นอันตราย ซึ่งมีข้อมูล HTML ที่เข้ารหัสด้วย Base64 ที่ถูกออกแบบมาเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ภายนอก และดาวน์โหลด payload ในขั้นตอนต่อไป
Payload ดังกล่าวเป็นไฟล์ ZIP อีกไฟล์หนึ่งที่บรรจุไฟล์ HTML Application (HTA) ที่ทำหน้าที่โหลดสคริปต์จากเซิร์ฟเวอร์ระยะไกล จากนั้นจะทำการแทรกสคริปต์ Visual Basic Script (VBScript) จากภายนอก และดำเนินการตรวจสอบเงื่อนไขหลายขั้นตอน เช่น หากพบว่าเครื่องติดตั้งโปรแกรม Avast antivirus หรือกำลังทำงานในสภาพแวดล้อมจำลอง (Virtual Environment) สคริปต์จะหยุดทำงานทันที
VBScript จะดำเนินการรวบรวมข้อมูลพื้นฐานของระบบ จากนั้นจะส่งออกข้อมูลไปยังเซิร์ฟเวอร์ภายนอก และดาวน์โหลด payloads เพิ่มเติม ซึ่งรวมถึงสคริปต์ AutoIt ที่ใช้ติดตั้ง banking trojan ผ่าน DLL ที่เป็นอันตราย และสคริปต์ PowerShell ที่มีหน้าที่แพร่กระจายอีเมลฟิชชิง หลังจากสร้างรายชื่ออีเมลของเป้าหมายโดยการสแกนข้อมูลผู้ติดต่อภายใน Outlook
Lin ระบุว่า "จากนั้นมัลแวร์จะดำเนินการขโมยข้อมูลที่เกี่ยวข้องกับเบราว์เซอร์จากเว็บเบราว์เซอร์เป้าหมายหลายตัวที่ตกเป็นเป้า รวมถึง Brave, Yandex, Epic Privacy Browser, Comodo Dragon, Cent Browser, Opera, Microsoft Edge และ Google Chrome นอกจากการขโมยข้อมูลแล้ว Horabot ยังติดตามพฤติกรรมของเหยื่อ และฝังหน้าต่างป๊อปอัปปลอมเพื่อดักจับข้อมูล credentials ของผู้ใช้ เช่น ชื่อผู้ใช้ และรหัสผ่านอีกด้วย"
ที่มา : Thehackernews
You must be logged in to post a comment.