Horabot skadlig programvara

Spansktalande användare i Latinamerika har drabbats av en nyupptäckt skadlig programvara för botnät som kallas Horabot. Attackkampanjen tros ha varit aktiv sedan åtminstone november 2020. Det hotfulla programmet ger hotaktörer möjligheten att manipulera offrets Outlook-postlåda, extrahera e-postadresser från deras kontakter och skicka nätfiske-e-postmeddelanden som innehåller korrupta HTML-bilagor till alla adresser inom den komprometterade brevlådan.

Utöver dessa funktioner distribuerar Horabot Malware en Windows-baserad finansiell trojan och ett skräppostverktyg. Dessa komponenter är utformade för att samla in känsliga nätbanksuppgifter och äventyra populära webbmailtjänster som Gmail, Outlook och Yahoo! Med tillgång till dessa inträngda konton kan operatörerna av skadlig programvara släppa lös en ström av spam-e-postmeddelanden till ett brett spektrum av mottagare.

Cyberkriminella riktar sig mot flera olika branscher med Horabot Malware

Enligt ett cybersäkerhetsföretag har ett betydande antal infektioner relaterade till Horabot-kampanjen upptäckts i Mexiko. Samtidigt har det blivit färre identifierade offer i länder som Uruguay, Brasilien, Venezuela, Argentina, Guatemala och Panama. Hotaktören som ansvarar för kampanjen tros vara baserad i Brasilien.

Den pågående kampanjen riktar sig till användare som främst är involverade i redovisnings-, bygg- och ingenjörsbranschen, grossistdistribution och investeringssektorerna. Det misstänks dock att även andra industrier i regionen kan påverkas av detta hot.

Horabot Malware levereras via en attackkedja i flera steg

Attackkampanjen börjar med nätfiske-e-postmeddelanden som använder skatterelaterade teman för att locka mottagare att öppna en HTML-bilaga. I denna bilaga är en länk inbäddad, vilket leder till ett RAR-arkiv.

När filen öppnas exekveras ett PowerShell-nedladdningsskript, som ansvarar för att hämta en ZIP-fil som innehåller de primära nyttolasterna från en fjärrserver. Dessutom startas maskinen om under denna process.

Systemomstarten fungerar som en startpunkt för banktrojanen och skräppostverktyget, vilket gör att hotaktören kan samla in data, spela in tangenttryckningar, ta skärmdumpar och distribuera ytterligare nätfiske-e-postmeddelanden till offrets kontakter.

Banktrojanen som används i kampanjen är en 32-bitars Windows DLL kodad i programmeringsspråket Delphi. Det uppvisar likheter med andra brasilianska skadliga programfamiljer, som Mekotio och Casbaneiro.

Å andra sidan är Horabot ett nätfiske-botnätprogram designat för Outlook. Den är skriven i PowerShell och har förmågan att skicka nätfiske-e-postmeddelanden till alla e-postadresser som finns i offrets brevlåda, och därigenom sprida infektionen. Denna taktik är en medveten strategi som används av hotaktören för att minska risken att exponera sin nätfiskeinfrastruktur.