記事本文(要約)
セキュリティ研究者は、新たなフィッシングキャンペーンを発見しました。このキャンペーンは、HorabotというマルウェアをWindowsユーザーをターゲットにし、主にメキシコ、グアテマラ、コロンビア、ペルー、チリ、アルゼンチンなどのラテンアメリカ諸国で活動しています。攻撃は偽の請求書や金融書類を装ったメールを使い、被害者に悪意のある添付ファイルを開かせて、メールの認証情報を盗み出し、コンタクトリストを抽出し、バンキングトロイの木馬をインストールします。攻撃者はVBScript、AutoIt、PowerShellスクリプトを使用して、システムの偵察、認証情報の盗難、追加のペイロードを落とします。Horabotは、Cisco Talosにより2023年6月に初めて文書化され、少なくとも2020年11月以降、ラテンアメリカのスペイン語話者を標的にしているとされています。攻撃の初期段階では、請求書を装ったフィッシングメールがZIPアーカイブをダウンロードさせるよう誘導し、中には悪意のあるHTMLファイルが含まれており、これがリモートサーバーと連携して次のペイロードをダウンロードします。ペイロードがさらにZIPアーカイブとして送信され、これはHTMLアプリケーション(HTA)ファイルを含み、外部のVBScriptを読み込みます。そのVBScriptはシステム情報を収集し、リモートサーバーに送信、さらに悪意のあるDLLを通じてバンキングトロイの木馬を解き放ちます。Horabotはブラウザからデータを盗み、被害者の行動を監視し、偽のポップアップを表示してログイン資格情報を取得することも確認されています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 14 May 2025 16:10:00 +0530
Original URL: https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html
詳細な技術情報
この新たなフィッシングキャンペーンについて、以下にセキュリティ詳細情報を提供します。
CVE番号
現時点の情報には、具体的なCVE番号は記載されていません。ただし、既知の脆弱性を悪用している可能性があるため、関連するコンポーネントの新しいCVE情報を注視する必要があります。
脆弱性の仕組み
Horabotマルウェアキャンペーンは、フィッシングメールにより展開され、そのメールは偽の請求書や財務文書を装って被害者を騙し、悪意のある添付ファイルを開かせようとします。この添付ファイルを開くことで、攻撃者により制御される遠隔サーバーから次の段階のペイロードがダウンロードされます。
攻撃手法
- フィッシングメール: 請求書を装ったメールで、ZIPアーカイブに悪意のあるHTMLファイルを含める。
- リモートサーバーからのペイロードダウンロード: HTMLファイルが遠隔サーバーに接続し、次のペイロード(HTAファイル)をダウンロード。
- スクリプト実行: VBScriptやPowerShellスクリプトにより、システム情報を収集し、追加のマルウェアをドロップ。
- 横方向の展開: Outlook COMオートメーションを利用してフィッシングメールを拡散。
潜在的な影響
- 情報漏洩: 個人情報、メール資格情報、連絡先リストの漏洩。
- ネットワーク感染: コーポレートネットワークまたは個人ネットワーク内でのマルウェアの横展開。
- 金融詐欺: バンキングトロイの木馬を利用した金融詐欺。
- 認証情報の盗難: 偽のポップアップウィンドウによるユーザーログイン資格情報の捕獲。
推奨される対策
- メールフィルタリング: スパムフィルタを強化し、不審な送信者や添付ファイルを含むメールを自動的にブロック。
- ユーザー教育: フィッシング攻撃の識別方法、および不審なメールへの対処法について教育。
- ソフトウェアの更新: アンチウイルスソフトやOSを最新の状態に保ち、既知の脆弱性の悪用を防ぐ。
- システム監視: ネットワーク内の異常な活動を監視し、迅速に対応するための監視体制の構築。
- 二要素認証: メールアクセスに二要素認証(2FA)を導入し、資格情報の不正使用を防止。
