米シスコシステムズは6月1日(現地時間)、「New Horabot campaign targets the Americas」において、「Horabot」と呼ばれる未確認のボットネットプログラムを配信するキャンペーンが展開されているとして注意を呼び掛けた。少なくとも2020年11月から継続しているキャンペーンとされ、既知のバンキング型トロイの木馬およびスパムツールと共に、新たにHorabotを配信していることが明らかとなった。

New Horabot campaign targets the Americas

キャンペーンの主な標的はメキシコのユーザーとされており、ウルグアイ、ブラジル、ベネズエラ、アルゼンチン、グアテマラ、パナマでも若干の感染が確認されている。攻撃はフィッシングメールから始まり、PowerShellスクリプトダウンローダの実行や正規の実行ファイルへのサイドロードを通じてペイロードが配信される、多段階の攻撃チェーンが実行されることが判明している。

バンキング型トロイの木馬には、被害者のさまざまなオンラインアカウントのログイン認証情報、オペレーティングシステム情報、キーストロークなどを窃取する機能が提供されている。また、被害者のオンラインバンキングアプリからワンタイムセキュリティコードやソフトトークンを盗み出すこともできるという。スパムツールはYahoo、Gmail、OutlookなどのWebメールアカウントを侵害し、これらのメールボックスを制御して連絡先のメールアドレスを漏洩させ、スパムメールを送信することができると説明している。

Campaign Infection Flow Summary

さらに、Horabotと呼ばれる新たなボットネットがこのキャンペーンで使われていることがわかった。Horabotには、被害者のメールボックス内にあるすべてのメールアドレスに対し、悪質なHTML添付のフィッシングメールを送信するという不正なVisual Basicのコードが組み込まれている。フィッシングメールは税金の領収書や請求書などを装った内容となっており、バンキング型トロイの木馬を配信して被害者の信用情報や財務データを窃取するためにこのボットネットが使われていると考えられている。

Horabot Infection Flow Summary

攻撃者はこのキャンペーンでHorabotおよびスパムツールを駆使し、被害者の連絡先に追加のフィッシングメールを配信して攻撃をさらに拡大させている。現在は主にスペイン語圏のユーザーが影響を受けているが、今後多言語に対応することでさらに被害が拡大する可能性がある。フィッシングメールには引き続き注意するとともに、安易にリンクをクリックしたり、添付ファイルを開いたりしないことが望まれる。