Horabot Malware

Spansktalende brugere i Latinamerika er blevet ramt af en nyopdaget botnet-malware kendt som Horabot. Angrebskampagnen menes at have været aktiv siden mindst november 2020. Det truende program giver trusselsaktører mulighed for at manipulere ofrets Outlook-postkasse, udtrække e-mail-adresser fra deres kontakter og sende phishing-e-mails indeholdende korrupte HTML-vedhæftede filer til alle adresserne i den kompromitterede postkasse.

Ud over disse muligheder implementerer Horabot Malware en Windows-baseret finansiel trojaner og et spamværktøj. Disse komponenter er designet til at indsamle følsomme netbankoplysninger og kompromittere populære webmail-tjenester som Gmail, Outlook og Yahoo! Med adgang til disse kompromitterede konti kan malware-operatørerne frigive en strøm af spam-e-mails til en bred vifte af modtagere.

Cyberkriminelle målretter mod flere forskellige industrier med Horabot Malware

Ifølge et cybersikkerhedsfirma er et betydeligt antal infektioner relateret til Horabot-kampagnen blevet opdaget i Mexico. Samtidig har der været færre identificerede ofre i lande som Uruguay, Brasilien, Venezuela, Argentina, Guatemala og Panama. Trusselsaktøren, der er ansvarlig for kampagnen, menes at være baseret i Brasilien.

Den igangværende kampagne er rettet mod brugere, der primært er involveret i regnskabs-, konstruktions- og tekniksektoren, engrosdistribution og investeringssektorerne. Det er dog mistanke om, at andre industrier i regionen også kan være berørt af denne trussel.

Horabot-malwaren leveres via en flertrins angrebskæde

Angrebskampagnen begynder med phishing-e-mails, der bruger skatterelaterede temaer til at lokke modtagere til at åbne en HTML-vedhæftet fil. I denne vedhæftede fil er der indlejret et link, der fører til et RAR-arkiv.

Når filen åbnes, udføres et PowerShell-downloader-script, som er ansvarligt for at hente en ZIP-fil, der indeholder de primære nyttelaster, fra en fjernserver. Derudover genstartes maskinen under denne proces.

Systemgenstarten fungerer som et startpunkt for banktrojaneren og spamværktøjet, hvilket gør det muligt for trusselsaktøren at indsamle data, optage tastetryk, tage skærmbilleder og distribuere yderligere phishing-e-mails til ofrets kontakter.

Den banktrojaner, der blev brugt i kampagnen, er en 32-bit Windows DLL kodet i programmeringssproget Delphi. Det udviser ligheder med andre brasilianske malware-familier, såsom Mekotio og Casbaneiro.

På den anden side er Horabot et phishing-botnet-program designet til Outlook. Den er skrevet i PowerShell og har evnen til at sende phishing-e-mails til alle e-mailadresser, der findes i ofrets postkasse, og derved sprede infektionen. Denne taktik er en bevidst strategi anvendt af trusselsaktøren for at reducere risikoen for at afsløre deres phishing-infrastruktur.