Partner Tech – Malware horabot adalah botnet kuat yang kembali menargetkan pengguna Outlook di Amerika Latin melalui email phishing yang canggih, dengan tujuan mengambil alih akun mereka dan menyebabkan kerugian yang signifikan.
Munculnya Botnet Horabot
Sejak November 2020, pengguna berbahasa Spanyol di Amerika Latin telah menghadapi botnet malware baru yang sangat canggih yang dikenal sebagai Horabot. Botnet berbahaya ini memungkinkan pelaku untuk mengambil alih kotak surat atau inbox Outlook korban, mengambil alamat email dari kontak mereka, dan mengirimkan email phishing dengan lampiran HTML berbahaya ke semua alamat yang ada di kotak surat yang terinfeksi.
Chetan Raghuprasad, seorang peneliti dari Cisco Talos, mengingatkan tentang kemampuan mengkhawatirkan dari Horabot ini. Program botnet ini tidak hanya membuat Trojan keuangan yang dirancang untuk Windows, tetapi juga mencakup alat spam yang dapat “memanen” kredensial perbankan online.
Botnet ini menyusup ke dalam akun webmail Gmail, Outlook, dan Yahoo! untuk menyebarkan email spam secara luas. Sebagian besar infeksi dilaporkan terjadi di Meksiko, dengan beberapa kasus yang diidentifikasi yaitu di Uruguay, Brasil, Venezuela, Argentina, Guatemala, dan Panama. Pelaku ancaman di balik kampanye ini diduga berbasis di Brasil.
Industri yang Ditargetkan dan Metodologi Serangan
Kampanye ini secara khusus menargetkan industri seperti akuntansi, konstruksi dan teknik, distribusi grosir, dan sektor investasi. Namun, diduga bahwa sektor lain di wilayah tersebut juga dapat terpengaruh oleh ancaman ini. Serangan dimulai dengan email phishing yang menarik perhatian penerima dengan iming-iming bertema pajak dan mendorong mereka untuk membuka lampiran HTML. Setelah membuka file tersebut, sebuah skrip pengunduh PowerShell dieksekusi dan bot pun mulai beroperasi untuk mengambil file ZIP yang berisi muatan utama dari server jarak jauh dan me-reboot mesin.
Restart sistem ini menjadi landasan peluncuran untuk Trojan perbankan dan alat spam, memungkinkan pelaku ancaman untuk mencuri data, mencatat penekanan tombol, menangkap tangkapan layar, dan mengirimkan email phishing tambahan ke kontak korban. Raghuprasad menjelaskan kampanye ini sebagai rantai serangan multi-tahap, dimulai dengan email phishing dan berakhir dengan pengiriman muatan melalui eksekusi skrip pengunduh PowerShell dan sideload ke executable yang sah.
Trojan perbankan ini adalah DLL Windows 32-bit yang ditulis dalam bahasa pemrograman Delphi dan memiliki karakteristik yang tumpang tindih dengan keluarga malware Brasil lainnya seperti Mekotio dan Casbaneiro. Horabot, di sisi lain, adalah program botnet phishing Outlook yang ditulis dalam PowerShell. Program ini memiliki kemampuan untuk mengirimkan email phishing ke semua alamat email yang ada di kotak surat korban, sehingga memperluas penyebaran infeksi. Selain itu, Horabot juga dirancang secara khusus untuk meminimalkan infrastruktur phishing yang digunakan oleh pelaku ancaman agar sulit terdeteksi.
Ancaman Finansial dari Brasil
Penemuan ini mengikuti temuan SentinelOne mengenai aktor ancaman Brasil yang belum dikenal, yang telah melancarkan serangan jangka panjang terhadap lebih dari 30 lembaga keuangan di Portugal dengan menggunakan malware pencuri informasi sejak tahun 2021. Juga baru-baru ini ditemukan trojan perbankan Android baru yang disebut PixBankBot, yang menyalahgunakan layanan aksesibilitas sistem operasi untuk melakukan penipuan transfer uang melalui platform pembayaran PIX di Brasil. Penemuan ini menunjukkan bahwa Brasil merupakan sumber kelompok peretasan yang berfokus pada motivasi finansial, dan pengguna harus tetap waspada agar tidak menjadi korban serangan semacam itu.
Kesimpulan
Horabot adalah contoh terbaru dari ancaman yang dihadapi oleh pengguna di Amerika Latin. Untuk melindungi diri dari serangan seperti ini, sangat penting bagi individu dan organisasi di industri terdampak untuk meningkatkan langkah-langkah keamanan mereka. Hal ini termasuk penggunaan filter email yang kuat, pelatihan kesadaran karyawan, dan penggunaan solusi keamanan yang dapat diandalkan. Dengan tetap terinformasi tentang tren keamanan terbaru dan menjaga pendekatan yang proaktif terhadap keamanan, pengguna dapat melindungi diri mereka dari ancaman yang terus berkembang seperti Horabot dan meminimalkan risiko menjadi korban serangan siber.