عاد برنامج Horabot الخبيث، وهو حصان طروادة مصرفي معروف، للنشاط في حملة جديدة تستهدف المستخدمين في المكسيك، مستخدماً تكتيكات متطورة تشمل اختراقاً متعدد المراحل ودودة بريد إلكتروني تعمل كمنصة للتصيد الاحتيالي.
يجمع هذا التهديد الجديد بين حصان طروادة مصرفي تم تطويره بلغة Delphi وبرنامج ناشر يعتمد على PowerShell، مما يجعله أحد أبرز التهديدات المالية المعقدة التي تم رصدها في أمريكا اللاتينية.
تبدأ الهجمة بصفحة وهمية تدعي أنها تحقق من “الكابتشا” (CAPTCHA)، وتطلب من الضحايا فتح نافذة “تشغيل” في نظام ويندوز ولصق أمر خبيث. بدلاً من استغلال ثغرة أمنية في البرامج، يتم خداع المستخدمين لتنفيذ ملف HTA خبيث يقوم بتشغيل سلسلة العدوى بصمت.
هذه الطريقة تسمح بتجاوز العديد من دفاعات الأجهزة الطرفية، حيث يتم تحويل المستخدم الضحية عن غير قصد إلى مشارك في عملية اختراقه.
حدد محللو Securelist هذه الحملة بعد أن أثار تنبيه حول تنفيذ مشبوه لملف mshta ضمن بيئة عميل مراقبة.
تمكن الفريق من تتبع النشاط إلى صفحة “الكابتشا” الوهمية ورسم خريطة لسلسلة الهجوم الكاملة من خلال فحص البنية التحتية للمهاجمين.
خلال هذه العملية، اكتشف الباحثون سجل ضحايا مكشوف على خادم المهاجم نفسه، مما كشف عن 5,384 جهازاً مخترقاً؛ 5,030 منها، أي حوالي 93%، تقع في المكسيك. امتدت السجلات إلى مايو 2025، مما يؤكد أن العملية كانت تعمل لأشهر قبل اكتشافها.
يُظهر منفذو الهجوم ارتباطات واضحة بدولة البرازيل. فقد كُتبت التعليقات داخل كود برنامج PowerShell الناشر باللغة البرتغالية البرازيلية العامية، وتشير مفتاح التشفير المستخدم لفك تشفير الموارد إلى عبارة “pega a visão”، والتي تعني “افهم الصورة” بالعامية البرازيلية.
رسائل البريد الإلكتروني للتصيد الاحتيالي التي توزعها الدودة مكتوبة باللغة الإسبانية ومعدة على شكل فواتير وهمية أو وثائق عمل سرية تستهدف المتلقين المكسيكيين.
آلية الإصابة متعددة المراحل لبرنامج Horabot
حصان طروادة البرمجي Delphi، المعروف أيضاً بأسماء مثل Casbaneiro وPonteiro وMetamorfo، يستخدم نوافذ منبثقة مزيفة للبنوك لسرقة بيانات تسجيل الدخول أثناء جلسات العمل المصرفية النشطة.
تعمل دودة البريد الإلكتروني أيضاً على جمع عناوين الاتصال من صندوق بريد الضحية عبر MAPI namespace، وترسل رسائل تصيد احتيالي إلى كل عنوان، حاملة ملف PDF خبيث يعيد تشغيل دورة الإصابة بأكملها.
ما يميز هذه الحملة ليس فقط الحمولة الخبيثة، بل أيضاً مسار التسليم المعقد. تقدم كل مرحلة طبقة جديدة من التشويش قبل وصول البرمجيات الخبيثة النهائية.
بعد تنفيذ ملف HTA، يقوم بجلب برنامج نصي (loader) مكتوب بلغة JavaScript من نطاق يتحكم فيه المهاجم، والذي بدوره يقوم بسحب وتشغيل برنامج نصي مكتوب بلغة VBScript مشفر.
يستخدم برنامج VBScript هذا تشكيلًا متعدد الأشكال من جانب الخادم – حيث يقدم إصدارًا مختلفًا قليلاً من الكود مع كل طلب لهزيمة الكشف القائم على التواقيع.
يعمل برنامج VBScript ثانٍ، أكثر تعقيدًا ويتكون من أكثر من 400 سطر، كعامل رئيسي في العملية، حيث يجمع عنوان IP للضحية واسم المضيف واسم المستخدم وإصدار نظام التشغيل قبل إرسال هذه البيانات إلى خادم القيادة والتحكم.
يقوم البرنامج بتخزين مكونات AutoIT على القرص، ويضع اختصار LNK في مجلد Startup للاستمرار، ويقوم بتنزيل المرحلة التالية.
يقوم برنامج AutoIT النصي بعد ذلك بفك تشفير كتلة مشفرة بـ AES-192 باستخدام مفتاح مشتق من القيمة الأولية 99521487 ويقوم بتحميل ملف DLL الناتج مباشرة في الذاكرة – وهذا الـ DLL هو حصان طروادة المصرفي.
يتواصل حصان طروادة مع خادم القيادة والتحكم الخاص به عبر بروتوكول TCP مخصص، حيث يقوم بتغليف الأوامر في علامات منظمة، مع تشفير جميع حركة المرور عبر تشفير XOR ثابت.
يتم تأطير المخرجات بين علامات مزدوجة "##"، وهو نمط نادر بما يكفي في حركة المرور المشروعة ليعمل كوقيع موثوق للكشف عن الشبكة.
لاحظ المحللون أن البنية المتكررة والثابتة للتشفير تجعل اكتشافه أسهل باستخدام قاعدة IDS قياسية.
يجب على فرق الأمن حظر تنفيذ ملفات HTA من مصادر غير موثوق بها ومراقبة نشاط mshta المشبوه عن كثب.
سيساعد نشر قواعد YARA المنشورة لحصان طروادة Horabot Delphi وبرنامج AutoIT النصي، جنبًا إلى جنب مع قاعدة Suricata التي تستهدف نمط حركة مرور القيادة والتحكم ذات العلامات المزدوجة "##"، في اكتشاف الإصابات مبكرًا.
يجب إضافة جميع مؤشرات الاختراق المشتركة – بما في ذلك النطاقات التي يتحكم فيها المهاجم وعناوين المقابس – إلى قوائم الحظر الخاصة بالشبكة دون تأخير.
يظل تدريب الوعي عن بعد للمستخدمين حول استهدافات CAPTCHA الوهمية وملفات PDF المرفقة بأزرار مضمنة طبقة دفاعية حاسمة.