Malware Horabot

Španělsky mluvící uživatelé v Latinské Americe byli terčem nově objeveného malwaru botnetu známého jako Horabot. Předpokládá se, že útočná kampaň je aktivní minimálně od listopadu 2020. Výhrůžný program poskytuje aktérům hrozeb možnost manipulovat s poštovní schránkou oběti v Outlooku, extrahovat e-mailové adresy z jejich kontaktů a odesílat phishingové e-maily obsahující poškozené přílohy HTML na všechny adresy v rámci napadenou poštovní schránku.

Kromě těchto schopností Horabot Malware nasazuje finanční trojský kůň založený na Windows a nástroj pro spam. Tyto komponenty jsou navrženy tak, aby shromažďovaly citlivé přihlašovací údaje online bankovnictví a kompromitovaly oblíbené webové poštovní služby, jako je Gmail, Outlook a Yahoo! S přístupem k těmto kompromitovaným účtům mohou operátoři malwaru rozpoutat příval spamových e-mailů široké škále příjemců.

Kyberzločinci se malwarem Horabot zaměřují na několik různých odvětví

Podle firmy zabývající se kybernetickou bezpečností bylo v Mexiku zjištěno značné množství infekcí souvisejících s kampaní Horabot. Zároveň bylo méně identifikovaných obětí v zemích jako Uruguay, Brazílie, Venezuela, Argentina, Guatemala a Panama. Předpokládá se, že aktér hrozby odpovědný za kampaň sídlí v Brazílii.

Probíhající kampaň se zaměřuje především na uživatele zabývající se účetnictvím, stavebnictvím a strojírenstvím, velkoobchodní distribucí a investicemi. Existuje však podezření, že touto hrozbou mohou být zasažena i další průmyslová odvětví v regionu.

Malware Horabot je dodáván prostřednictvím vícefázového útočného řetězce

Útočná kampaň začíná phishingovými e-maily, které využívají témata související s daněmi, aby nalákali příjemce k otevření přílohy HTML. V této příloze je vložen odkaz vedoucí do archivu RAR.

Po otevření souboru se spustí skript PowerShell downloader, který je zodpovědný za načtení souboru ZIP obsahujícího primární datové části ze vzdáleného serveru. Během tohoto procesu se navíc počítač restartuje.

Restart systému slouží jako spouštěcí bod pro bankovní trojan a spamový nástroj, který umožňuje aktérovi hrozby shromažďovat data, zaznamenávat stisky kláves, snímat snímky obrazovky a distribuovat další phishingové e-maily kontaktům oběti.

Bankovní trojan použitý v kampani je 32bitová Windows DLL kódovaná v programovacím jazyce Delphi. Vykazuje podobnosti s jinými brazilskými rodinami malwaru, jako jsou Mekotio a Casbaneiro.

Na druhou stranu, Horabot je phishingový botnetový program určený pro Outlook. Je napsán v prostředí PowerShell a má schopnost posílat phishingové e-maily na všechny e-mailové adresy nalezené v poštovní schránce oběti, a tím šířit infekci. Tato taktika je záměrná strategie používaná aktérem hrozby ke snížení rizika odhalení jejich phishingové infrastruktury.