Horabot Malware

Usuários que falam espanhol na América Latina foram alvo de um malware de botnet recém-descoberto conhecido como Horabot. Acredita-se que a campanha de ataque esteja ativa desde pelo menos novembro de 2020. O programa ameaçador concede aos invasores a capacidade de manipular a caixa de correio do Outlook da vítima, extrair endereços de e-mail de seus contatos e enviar e-mails de phishing contendo anexos HTML corrompidos para todos os endereços dentro a caixa de correio comprometida.

Além desses recursos, o Horabot Malware implanta um Trojan financeiro baseado no Windows e uma ferramenta de spam. Esses componentes são projetados para coletar credenciais bancárias on-line confidenciais e comprometer serviços populares de webmail, como Gmail, Outlook e Yahoo! Com acesso a essas contas comprometidas, os operadores de malware podem liberar uma torrente de e-mails de spam para uma ampla variedade de destinatários.

Os Cibercriminosos Usam o Horbot Malware em Vários, Diferentes Setores 

De acordo com uma empresa de segurança cibernética, um número significativo de infecções relacionadas à campanha Horabot foi detectado no México. Ao mesmo tempo, houve menos vítimas identificadas em países como Uruguai, Brasil, Venezuela, Argentina, Guatemala e Panamá. Acredita-se que o agente da ameaça responsável pela campanha esteja baseado no Brasil.

A campanha em andamento tem como alvo os usuários envolvidos principalmente nos setores de contabilidade, construção e engenharia, distribuição atacadista e investimentos. No entanto, suspeita-se que outras indústrias da região também possam ser afetadas por essa ameaça.

O Horabot Malware é Entregue por Meio de uma Cadeia de Ataque em Vários Estágios

A campanha de ataque começa com e-mails de phishing que usam temas relacionados a impostos para induzir os destinatários a abrir um anexo em HTML. Dentro deste anexo, um link está embutido, levando a um arquivo RAR.

Ao abrir o arquivo, é executado um script de download do PowerShell, responsável por recuperar um arquivo ZIP contendo as cargas principais de um servidor remoto. Além disso, a máquina é reinicializada durante esse processo.

A reinicialização do sistema serve como ponto de partida para o trojan bancário e a ferramenta de spam, permitindo que o agente da ameaça colete dados, registre as teclas digitadas, capture capturas de tela e distribua mais e-mails de phishing aos contatos da vítima.

O Trojan bancário usado na campanha é uma DLL do Windows de 32 bits codificada na linguagem de programação Delphi. Apresenta semelhanças com outras famílias de malware brasileiras, como Mekotio e Casbaneiro.

Por outro lado, o Horabot é um programa de botnet de phishing projetado para o Outlook. Ele é escrito em PowerShell e possui a capacidade de enviar e-mails de phishing para todos os endereços de e-mail encontrados na caixa de correio da vítima, espalhando assim a infecção. Essa tática é uma estratégia deliberada empregada pelo agente da ameaça para reduzir o risco de expor sua infraestrutura de phishing.