Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Citazione Giudiziaria-Trappola: PDF dinamici diffondono Horabot e Casbaneiro, trojan bancario in America Latina ed Europa
Una campagna di phishing su larga scala sta colpendo utenti di lingua spagnola in aziende e organizzazioni tra America Latina ed Europa, con l’obiettivo di distribuire trojan bancari per Windows come Casbaneiro, noto anche come Metamorfo. La catena di infezione sfrutta un malware intermedio chiamato Horabot, usato sia per facilitare il download dei payload sia per propagare ulteriormente l’attacco tramite email.
Il punto di ingresso è una email di phishing costruita con tema convocazione o citazione giudiziaria, un contesto credibile che spinge la vittima ad aprire un allegato PDF protetto da password. All’interno del documento è presente un link che reindirizza a una risorsa malevola e avvia il download automatico di un archivio ZIP. Da qui parte l’esecuzione di componenti temporanei in formato HTA e VBS, spesso impiegati per aggirare controlli di sicurezza e avviare script in modo silenzioso.
Lo script VBS effettua controlli di ambiente e tecniche anti-analisi, includendo verifiche su software di sicurezza presenti, e poi contatta un server remoto per scaricare gli stadi successivi. Tra questi compaiono loader basati su AutoIt che estraggono ed eseguono file cifrati con estensioni come ia o at. Il risultato finale è l’avvio di due famiglie malware: Casbaneiro attraverso un modulo DLL e Horabot tramite un’altra DLL dedicata.
Casbaneiro resta il payload principale per il furto di credenziali e dati finanziari, mentre Horabot agisce come meccanismo di diffusione. Un aspetto rilevante è l’uso di generazione dinamica di PDF: invece di allegati statici o link fissi, il sistema invia una richiesta HTTP POST a una API remota, includendo un PIN casuale a quattro cifre. Il server crea al momento un PDF personalizzato e protetto da password che imita una citazione giudiziaria in spagnolo, restituendolo alla macchina infetta. A quel punto lo script scorre i contatti raccolti da Microsoft Outlook e invia email di phishing direttamente dall’account compromesso, aumentando credibilità e tasso di successo.
In parallelo, un modulo collegato a Horabot può tentare il dirottamento di account Yahoo Live e Gmail per inviare ulteriori messaggi fraudolenti via Outlook, rafforzando la componente di spam e account hijacking.