Horabot-malware

Spaanstalige gebruikers in Latijns-Amerika zijn het doelwit van een nieuw ontdekte botnet-malware die bekend staat als Horabot. Aangenomen wordt dat de aanvalscampagne in ieder geval sinds november 2020 actief is. Het bedreigende programma biedt aanvallers de mogelijkheid om de Outlook-mailbox van het slachtoffer te manipuleren, e-mailadressen uit hun contacten te halen en phishing-e-mails met beschadigde HTML-bijlagen naar alle adressen in de map te sturen. de gecompromitteerde mailbox.

Naast deze mogelijkheden gebruikt de Horabot-malware een op Windows gebaseerde financiële trojan en een spamtool. Deze componenten zijn ontworpen om gevoelige inloggegevens voor internetbankieren te verzamelen en populaire webmailservices zoals Gmail, Outlook en Yahoo! Met toegang tot deze gecompromitteerde accounts kunnen de malware-operators een stortvloed aan spam-e-mails ontketenen naar een breed scala aan ontvangers.

Cybercriminelen richten zich op verschillende industrieën met de Horabot-malware

Volgens een cyberbeveiligingsbedrijf is in Mexico een aanzienlijk aantal infecties met betrekking tot de Horabot-campagne gedetecteerd. Tegelijkertijd zijn er minder geïdentificeerde slachtoffers in landen als Uruguay, Brazilië, Venezuela, Argentinië, Guatemala en Panama. De dreigingsactor die verantwoordelijk is voor de campagne zou in Brazilië zijn gevestigd.

De lopende campagne richt zich op gebruikers die voornamelijk actief zijn in de sectoren boekhouding, bouw en techniek, groothandel en investeringen. Het vermoeden bestaat echter dat ook andere industrieën in de regio door deze dreiging worden getroffen.

De Horabot-malware wordt geleverd via een meertraps aanvalsketen

De aanvalscampagne begint met phishing-e-mails die belastinggerelateerde thema's gebruiken om ontvangers te verleiden een HTML-bijlage te openen. In deze bijlage is een link ingebed die naar een RAR-archief leidt.

Bij het openen van het bestand wordt een PowerShell-downloaderscript uitgevoerd, dat verantwoordelijk is voor het ophalen van een ZIP-bestand met de primaire payloads van een externe server. Bovendien wordt de machine tijdens dit proces opnieuw opgestart.

Het herstarten van het systeem dient als startpunt voor de bank-trojan en de spamtool, waardoor de bedreigingsactor gegevens kan verzamelen, toetsaanslagen kan opnemen, schermafbeeldingen kan maken en verdere phishing-e-mails kan verspreiden naar de contacten van het slachtoffer.

De banktrojan die in de campagne wordt gebruikt, is een 32-bits Windows DLL, gecodeerd in de programmeertaal Delphi. Het vertoont overeenkomsten met andere Braziliaanse malwarefamilies, zoals Mekotio en Casbaneiro.

Aan de andere kant is Horabot een phishing-botnetprogramma dat is ontworpen voor Outlook. Het is geschreven in PowerShell en heeft de mogelijkheid om phishing-e-mails te sturen naar alle e-mailadressen die in de mailbox van het slachtoffer worden gevonden, waardoor de infectie wordt verspreid. Deze tactiek is een bewuste strategie die door de dreigingsactor wordt gebruikt om het risico van het blootleggen van hun phishing-infrastructuur te verminderen.