Allerta Hotabot, il malware che prende di mira Gmail e Outlook

Di recente è stato individuata e classificata una nuova e massiccia campagna di Hotabot, un malware botnet che a fine 2020 e nei mesi successivi ha preso di mira svariati utenti di lingua spagnola.

Questa minaccia, in origine attiva quasi esclusivamente nell’America Latina, ha la caratteristica di ottenere il pieno controllo degli account e-mail delle vittime. In tal senso, i servizi più colpiti risultano essere anche quelli più diffusi, ovvero Gmail, Outlook, Hotmail e Yahoo.

In questo modo, i cybercriminali dietro al malware, agiscono “intercettanto” e-mail con codici 2FA o sfruttando la casella di posta per inviare e-mail di phishing.

La scoperta di questa nuova campagna è merito degli analisti di Cisco Talos che, tra le altre cose, hanno individuato il Brasile come possibile residenza dell’autore (o degli autori) di Hotabot.

Hotabot: come funziona e perché è così temibile?

Il tutto comincia con un’e-mail di phishing, spesso legata a temi fiscali o economici. Qui è presente un HTML che viene spacciato come ricevuta di un pagamento.

Aprendo questo file, l’utente viene reindirizzato verso un URL controllato direttamente dal criminale informatico. Con il download di un file RAR qui presente e il clic su un file batch con estensione CMD, si avvia la vera e propria infezione.

Questo infatti scarica sul computer locale uno script PowerShell che consente lo scaricamento e l’attivazione di vari trojan. Tra le informazioni prese di mira da uno degli agenti malevoli scaricati, in particolare, prende di mira informazioni del sistema come:

• lingua;
• dimensioni del disco;
• antivirus installato;
• nome host;
• versione del sistema operativo;
• indirizzo IP.

Non mancano poi le ancora più inquietanti funzionalità di accesso remoto, con tanto di acquisizione di screenshot e monitoraggio del puntatore mouse.

Non solo: quando la vittima apre un’applicazione, il trojan vi sovrappone una finta finestra per indurre le vittime a inserire dati sensibili come credenziali del conto bancario o informazioni simili.

Sebbene anche questa campagna Horabot si rivolga principalmente agli utenti residenti in Centro-Sud America, è probabile che i creatori di tale malware possano, con grande facilità, prendere di mira anche altre parti del mondo in futuro prossimo.