Horabot 恶意软件

拉丁美洲的西班牙语用户已成为新发现的名为 Horabot 的僵尸网络恶意软件的目标。据信，该攻击活动至少从 2020 年 11 月开始就一直活跃。威胁程序使威胁行为者能够操纵受害者的 Outlook 邮箱，从他们的联系人中提取电子邮件地址，并将包含损坏的 HTML 附件的网络钓鱼电子邮件发送到其中的所有地址受损的邮箱。

除了这些功能之外，Horabot 恶意软件还部署了基于 Windows 的金融木马和垃圾邮件工具。这些组件旨在收集敏感的在线银行凭证并危害流行的网络邮件服务，例如 Gmail、Outlook 和 Yahoo!通过访问这些受感染的帐户，恶意软件操作员可以向范围广泛的收件人释放大量垃圾邮件。

网络犯罪分子使用 Horabot 恶意软件瞄准多个不同的行业

据一家网络安全公司称，在墨西哥发现了大量与 Horabot 活动相关的感染。与此同时，在乌拉圭、巴西、委内瑞拉、阿根廷、危地马拉和巴拿马等国家，已确认的受害者人数较少。据信，负责该活动的威胁演员位于巴西。

正在进行的活动主要针对会计、建筑和工程、批发分销和投资部门的用户。然而，人们怀疑该地区的其他行业也可能受到这种威胁的影响。

Horabot 恶意软件通过多阶段攻击链传播

攻击活动从使用税务相关主题的网络钓鱼电子邮件开始，以引诱收件人打开 HTML 附件。在此附件中，嵌入了一个指向 RAR 存档的链接。

打开文件后，将执行 PowerShell 下载脚本，负责从远程服务器检索包含主要有效负载的 ZIP 文件。此外，机器会在此过程中重新启动。

系统重启作为银行木马和垃圾邮件工具的启动点，使威胁行为者能够收集数据、记录击键、捕获屏幕截图，并将进一步的网络钓鱼电子邮件分发给受害者的联系人。

活动中使用的银行木马是一个用 Delphi 编程语言编码的 32 位 Windows DLL。它表现出与其他巴西恶意软件系列的相似之处，例如Mekotio和 Casbaneiro。

另一方面，Horabot 是专为 Outlook 设计的网络钓鱼僵尸网络程序。它是用 PowerShell 编写的，具有向受害者邮箱中找到的所有电子邮件地址发送网络钓鱼电子邮件的能力，从而传播感染。这种策略是威胁行为者为降低暴露其网络钓鱼基础设施的风险而故意采用的策略。