Horabot skadelig programvare

Spansktalende brukere i Latin-Amerika har blitt målrettet av en nyoppdaget botnett-skadevare kjent som Horabot. Angrepskampanjen antas å ha vært aktiv siden minst november 2020. Det truende programmet gir trusselaktører muligheten til å manipulere offerets Outlook-postboks, trekke ut e-postadresser fra kontaktene deres og sende phishing-e-poster som inneholder ødelagte HTML-vedlegg til alle adressene innenfor den kompromitterte postkassen.

I tillegg til disse egenskapene, distribuerer Horabot Malware en Windows-basert finansiell trojaner og et spamverktøy. Disse komponentene er utformet for å samle inn sensitiv nettbankinformasjon og kompromittere populære nettposttjenester som Gmail, Outlook og Yahoo! Med tilgang til disse kompromitterte kontoene kan skadevareoperatørene slippe løs en strøm av spam-e-poster til et bredt spekter av mottakere.

Nettkriminelle målretter mot flere forskjellige bransjer med Horabot-malware

Ifølge et cybersikkerhetsfirma har et betydelig antall infeksjoner knyttet til Horabot-kampanjen blitt oppdaget i Mexico. Samtidig har det vært færre identifiserte ofre i land som Uruguay, Brasil, Venezuela, Argentina, Guatemala og Panama. Trusselaktøren som er ansvarlig for kampanjen, antas å være basert i Brasil.

Den pågående kampanjen retter seg mot brukere som primært er involvert i regnskaps-, bygg- og ingeniørsektoren, grossistdistribusjon og investeringssektoren. Det er imidlertid mistanke om at også andre næringer i regionen kan bli berørt av denne trusselen.

Horabot Malware leveres via en flertrinns angrepskjede

Angrepskampanjen begynner med phishing-e-poster som bruker skatterelaterte temaer for å lokke mottakere til å åpne et HTML-vedlegg. Innenfor dette vedlegget er en lenke innebygd, som fører til et RAR-arkiv.

Når filen åpnes, kjøres et PowerShell-nedlastingsskript, som er ansvarlig for å hente en ZIP-fil som inneholder de primære nyttelastene fra en ekstern server. I tillegg startes maskinen på nytt under denne prosessen.

Systemomstarten fungerer som et startpunkt for banktrojaneren og spamverktøyet, som gjør det mulig for trusselaktøren å samle inn data, ta opp tastetrykk, ta skjermbilder og distribuere ytterligere phishing-e-poster til kontaktene til offeret.

Banktrojaneren som ble brukt i kampanjen er en 32-bits Windows DLL kodet i programmeringsspråket Delphi. Den viser likheter med andre brasilianske skadevarefamilier, som Mekotio og Casbaneiro.

På den annen side er Horabot et phishing-botnett-program designet for Outlook. Den er skrevet i PowerShell og har muligheten til å sende phishing-e-post til alle e-postadresser som finnes i offerets postkasse, og dermed spre infeksjonen. Denne taktikken er en bevisst strategi brukt av trusselaktøren for å redusere risikoen for å avsløre deres phishing-infrastruktur.