Horabot 惡意軟件

拉丁美洲的西班牙語用戶已成為新發現的名為 Horabot 的殭屍網絡惡意軟件的目標。據信，該攻擊活動至少從 2020 年 11 月開始就一直活躍。威脅程序使威脅行為者能夠操縱受害者的 Outlook 郵箱，從他們的聯繫人中提取電子郵件地址，並將包含損壞的 HTML 附件的網絡釣魚電子郵件發送到其中的所有地址受損的郵箱。

除了這些功能之外，Horabot 惡意軟件還部署了基於 Windows 的金融木馬和垃圾郵件工具。這些組件旨在收集敏感的在線銀行憑證並危害流行的網絡郵件服務，例如 Gmail、Outlook 和 Yahoo!通過訪問這些受感染的帳戶，惡意軟件操作員可以向范圍廣泛的收件人釋放大量垃圾郵件。

網絡犯罪分子使用 Horabot 惡意軟件瞄準多個不同的行業

據一家網絡安全公司稱，在墨西哥發現了大量與 Horabot 活動相關的感染。與此同時，在烏拉圭、巴西、委內瑞拉、阿根廷、危地馬拉和巴拿馬等國家，已確認的受害者人數較少。據信，負責該活動的威脅演員位於巴西。

正在進行的活動主要針對會計、建築和工程、批發分銷和投資部門的用戶。然而，人們懷疑該地區的其他行業也可能受到這種威脅的影響。

Horabot 惡意軟件通過多階段攻擊鏈傳播

攻擊活動從使用稅務相關主題的網絡釣魚電子郵件開始，以引誘收件人打開 HTML 附件。在此附件中，嵌入了一個指向 RAR 存檔的鏈接。

打開文件後，將執行 PowerShell 下載腳本，負責從遠程服務器檢索包含主要有效負載的 ZIP 文件。此外，機器會在此過程中重新啟動。

系統重啟作為銀行木馬和垃圾郵件工具的啟動點，使威脅行為者能夠收集數據、記錄擊鍵、捕獲屏幕截圖，並將進一步的網絡釣魚電子郵件分發給受害者的聯繫人。

活動中使用的銀行木馬是一個用 Delphi 編程語言編碼的 32 位 Windows DLL。它表現出與其他巴西惡意軟件系列的相似之處，例如Mekotio和 Casbaneiro。

另一方面，Horabot 是專為 Outlook 設計的網絡釣魚殭屍網絡程序。它是用 PowerShell 編寫的，具有向受害者郵箱中找到的所有電子郵件地址發送網絡釣魚電子郵件的能力，從而傳播感染。這種策略是威脅行為者為降低暴露其網絡釣魚基礎設施的風險而故意採用的策略。