Malware Horabot

Gli utenti di lingua spagnola in America Latina sono stati presi di mira da un malware botnet scoperto di recente noto come Horabot. Si ritiene che la campagna di attacco sia attiva almeno da novembre 2020. Il programma minaccioso garantisce agli attori delle minacce la possibilità di manipolare la casella di posta di Outlook della vittima, estrarre indirizzi e-mail dai loro contatti e inviare e-mail di phishing contenenti allegati HTML danneggiati a tutti gli indirizzi all'interno la casella di posta compromessa.

Oltre a queste funzionalità, Horabot Malware distribuisce un trojan finanziario basato su Windows e uno strumento antispam. Questi componenti sono progettati per raccogliere credenziali bancarie online sensibili e compromettere i popolari servizi di webmail come Gmail, Outlook e Yahoo! Con l'accesso a questi account compromessi, gli operatori di malware possono scatenare un torrente di e-mail di spam a un'ampia gamma di destinatari.

I criminali informatici prendono di mira diversi settori con il malware Horabot

Secondo una società di sicurezza informatica, in Messico è stato rilevato un numero significativo di infezioni legate alla campagna Horabot. Allo stesso tempo, ci sono state meno vittime identificate in paesi come Uruguay, Brasile, Venezuela, Argentina, Guatemala e Panama. Si ritiene che l'autore della minaccia responsabile della campagna abbia sede in Brasile.

La campagna in corso si rivolge principalmente agli utenti coinvolti nei settori della contabilità, dell'edilizia e dell'ingegneria, della distribuzione all'ingrosso e degli investimenti. Tuttavia, si sospetta che anche altre industrie della regione possano essere interessate da questa minaccia.

Il malware Horabot viene distribuito tramite una catena di attacchi a più fasi

La campagna di attacco inizia con e-mail di phishing che utilizzano temi fiscali per indurre i destinatari ad aprire un allegato HTML. All'interno di questo allegato è incorporato un collegamento che porta a un archivio RAR.

All'apertura del file, viene eseguito uno script del downloader di PowerShell, responsabile del recupero di un file ZIP contenente i payload primari da un server remoto. Inoltre, la macchina viene riavviata durante questo processo.

Il riavvio del sistema funge da punto di lancio per il trojan bancario e lo strumento di spam, consentendo all'autore della minaccia di raccogliere dati, registrare sequenze di tasti, acquisire schermate e distribuire ulteriori e-mail di phishing ai contatti della vittima.

Il trojan bancario utilizzato nella campagna è una DLL di Windows a 32 bit codificata nel linguaggio di programmazione Delphi. Presenta somiglianze con altre famiglie di malware brasiliane, come Mekotio e Casbaneiro.

D'altra parte, Horabot è un programma botnet di phishing progettato per Outlook. È scritto in PowerShell e possiede la capacità di inviare e-mail di phishing a tutti gli indirizzi e-mail trovati nella casella di posta della vittima, diffondendo così l'infezione. Questa tattica è una strategia deliberata impiegata dall'autore della minaccia per ridurre il rischio di esporre la propria infrastruttura di phishing.